Java Web开发之Cookie和Session

众所周知，HTTP是一个无状态协议，所以客户端每次发出请求时，下一次请求无法得知上一次请求所包含的状态数据，如何能把一个用户的状态数据关联起来呢？

比如在淘宝的每个页面中，你进行了登录操作。当你跳转到商品页面时，服务端如何知道你是已经登录的状态呢？

什么是Cookie？（浏览器端）

Cookie是服务器在本地机器上存储的一段文本并随每一个请求发送至同一服务器 。网络服务器用HTTP头向客户端发送Cookie。而在客户端，浏览器解析这些Cookie将它们保存为一个本地文件，它会自动将同一服务器的任何请求带上这些Cookie。

以上问题利用Cookie可以解决，Cookie是HTTP协议的一部分，它的处理分为如下几步：

服务器向客户端发送Cookie
- 通常使用HTTP协议规定的set-cookie 头操作
- 规范规定cookie的格式为name=value 格式，且必须包含这部分
浏览器将Cookie保存
每次请求浏览器都会将Cookie发向服务器
- Path路径匹配
- maxAge生存空间
- secure：当 secure 值为 true 时，cookie 在 HTTP 中是无效，在 HTTPS 中才有效。

image

假设客户端的浏览器禁用了Cookie，一般这种情况下，会使用一种叫做URL重写的技术进行会话跟踪。每次与HTTP交互，URL后面都会被附加上一个sid=xxxx 这样的参数，服务端据此来识别用户。

Cookie的应用场景

自动登录

为什么要用Session？（Cookie安全问题）

Cookie虽然很方便，但是使用Cookie有一个很大的弊端，Cookie中的所有数据在客户端就可以被修改，数据非常容易被伪造，那么一些重要的数据就不能存放在Cookie中了，而且如果Cookie中数据字段太多会影响传输效率。为了解决这些问题，就是产生了Session，Session中的数据是保存在服务器端的。

什么是Session？（服务器端）

Session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构来保存信息。简而言之，就是在服务器上保存用户的操作的历史信息。服务器使用session_id来标识session ，session_id由服务器产生（session_id通常是存放在客户端的Cookie中），保证随机性与唯一性，相当于一个随机密钥，避免在握手或传输中暴露用户的真实密码。但该方式下，仍然需要将发送请求的客户端与session进行对应，所以可以借助cookie机制来获取客户端的session_id，也可以通过GET方式将id提交给服务器。

Session如何工作

通过Session_id，服务端就可以创建HttpSession 对象了，第一次触发通过request.getSessionz() 方法。