Cookie與Session的原理

Session 原理：

　　session能夠放在文件、內存中或數據庫均可以，是以鍵值對的形式存儲。Session也是一種key-value的屬性對。

　　當程序須要爲某個客戶端的請求建立一個session的時候，服務器首先檢查這個客戶端的請求裏是否已包含了一個session標識，稱爲session-id，若是已包含一個session id，則說明之前已經爲此客戶端建立過session，服務器就按照session id把這個session檢索出來使用（若是檢索不到，可能會新建一個，根據getSeesion()方法的參數），若是客戶端請求不包含session id，則爲此客戶端建立一個session而且生成一個與此session相關連的session id，這個session id將被在本次響應中返回給客戶端保存。

Session的客戶端實現形式（即session id 的保存方法）

通常瀏覽器提供了3種方式來保存：

　　【1】使用Cookie來保存。這是最多見的方法，「記錄個人登陸狀態」功能的實現正是基於這種方式的。服務器經過設置Cookie的方式將session id 發送到瀏覽器。若是咱們不設置過時時間，那麼這個Cookie將不存放在硬盤上，當瀏覽器關閉的時候，Cookie就消失了，這個session id就丟失了。若是咱們設置這個時間，那麼這個Cookie會保存在客戶端硬盤中，即便瀏覽器關閉，這個值仍然存在，下次訪問相應網站時，一樣會發送到服務器上。

　　【2】URL重寫，就是把session id直接附加在URL路徑的後面，也就是像咱們常常看到JSP網站會有aaa.jsp?JSESSIONID=*同樣的。

　　【3】在網頁表單裏面增長隱藏域，這種方式實際上和第二種方式同樣，只不過前者經過GET方法發送數據，後者使用POST方式發送數據。可是明顯後者比較麻煩。

　　就是服務器會自動修改表單，添加一個隱藏字段，一邊在表單提交時可以把session id傳遞迴服務器。好比：

1 <form name="testform" action="/xxx">
2 <input type="hidden" name="jsessionid"
3 value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBug!-145788764">
4 <input type="text">
5 </form>

session何時被建立？

　　一個常見的錯誤是覺得session在有客戶端訪問時就被建立，然而事實是直到某server端程序（如Servlet）調用HttpServletRequest.getSession(true)這樣的語句時纔會被建立。

session什麼時候被刪除？

session在下列狀況下被刪除：

　　A. 程序調用HttpSession.invalidate()

　　B. 距離上一次收到客戶端發送的session id時間間隔超過了session的最大有效時間

　　C. 服務器進程被中止

　　再次注意關閉瀏覽器只會使存儲在客戶端瀏覽器內存中的session cookie失效，不會使服務器端的session對象失效。

getSession()/getSession(true)、getSession(false)的區別

　　getSession()/getSession(true)：當session存在時返回該session，不然新建一個session並返回該對象。

　　getSession(false)：當session存在時返回該session，不然不會新建session，返回null。

 

Cookie 的機制：

Cookie的種類：

　　一、以文件方式存在硬盤空間上的永久性的cookie。持久cookie是指存放於客戶端硬盤中的cookie信息（設置了必定的有效期限），當用戶訪問某網站時，瀏覽器就會在本地硬盤上查找與該網站相關聯的cookie。若是該cookie存在，瀏覽器就將它與頁面請求以期經過HTTP報頭信息發送到您的站點，而後在系統會比對cookie中各屬性和值是否與存放在服務器端的信息一致。並根據比對結果肯定用戶爲「初訪者」或「老客戶」。

　　二、停留在瀏覽器所佔內存中的臨時性的cookie，關閉 Internet Explorer 時即從計算機上刪除。

Cookie 的有效期：

　　Cookie的maxAge決定着Cookie的有效期，單位爲秒。

　　若是maxAge屬性爲正數，則表示該Cookie會在maxAge秒以後自動失效。瀏覽器會將maxAge爲正數的Cookie持久化，即寫到對應的Cookie文件中。不管客戶關閉了瀏覽器仍是電腦，只要還在maxAge秒以前，登陸網站時該Cookie仍然有效。下面代碼中的Cookie信息將永遠有效。

1 Cookie cookie = new Cookie("username","helloweenvsfei");//新建Cookie
2 cookie.setMaxAge(Integer.MAX_VALUE);//設置生命週期爲MAX_VALUE
3 response.addCookie(cookie);//輸出到客戶端

　　若是maxAge爲負數，則表示該Cookie僅在本瀏覽器窗口以及本窗口打開的子窗口內有效，關閉窗口後該Cookie即失效。maxAge爲負數的Cookie，爲臨時性Cookie，Cookie信息保存在瀏覽器內存中，所以關閉瀏覽器該Cookie就消失了。Cookie默認的maxAge值爲-1.

　　若是maxAge爲0，則表示刪除該Cookie。Cookie機制沒有提供刪除Cookie的方法，所以經過設置該Cookie即時失效實現刪除Cookie的效果。失效的Cookie會被瀏覽器從Cookie文件或者內存中刪除。

例如：

1 Cookie cookie = new Cookie("username","helloweenvsfei");//新建Cookie
2 cookie.setMaxAge(0);//設置生命週期爲0，表示刪除cookie
3 response.addCookie(cookie);//必須執行這一句

Cookie的組成部分

　　Cookie在HTTP的頭部信息中。

　　標準格式：Set-Cookie：NAME=VALUE; Expires=DATE; Path=PATH; Domain=DOMAIN_NAME; SECURE;

　　舉例說明：Set-Cookie：JSESSIONID=mysession; Expires=Thu; 05-Jun-20 08 05:02:50 GMT; Path=/web;

　　Cookie的Expires屬性標識了Cookie的有效時間，當Cookie的有效時間過了以後，這些數據就被自動刪除了。若不設置過時時間，則表示這個cookie的生命期爲瀏覽器會話期間，關閉瀏覽器窗口，cookie就消失。這種生命週期爲瀏覽器會話期的cookie被稱爲會話cookie（臨時性cookie），會話cookie保存在內存裏。若設置了過時時間，瀏覽器就會把cookie保存到硬盤上，關閉後再次打開瀏覽器，這些cookie仍然有效直到超過設定的過時時間。存儲在硬盤上的cookie能夠在不一樣的瀏覽器進程間共享，好比兩個IE窗口。

Cookie被瀏覽器禁用怎麼辦？

cookie能夠被人爲地禁止，則必須有其餘機制以便在cookie被禁止時仍然可以把session id傳遞會服務器。

　　【1】URL重寫，就是把session id直接附加在URL路徑的後面，也就是像咱們常常看到JSP網站會有aaa.jsp?JSESSIONID=*同樣的。

　　【2】在網頁表單裏面增長隱藏域，這種方式實際上和第二種方式同樣，只不過前者經過GET方法發送數據，後者使用POST方式發送數據。可是明顯後者比較麻煩。

　　就是服務器會自動修改表單，添加一個隱藏字段，一邊在表單提交時可以把session id傳遞迴服務器。好比：

1 <form name="testform" action="/xxx">
2 <input type="hidden" name="jsessionid"
3 value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBug!-145788764">
4 <input type="text">
5 </form>

 

Cookie 與 Session的區別

一、cookie數據存放在客戶端，用來記錄用戶信息的，session數據放在服務器上。

二、正是因爲Cookie存儲在客戶端中，對客戶端是可見的，客戶端的一些程序可能會窺探、複製甚至修改Cookie中的內容。而Session存儲在服務器上，對客戶端是透明的，不存在敏感信息泄露的危險。

　　若是選用Cookie，比較好的方法是，敏感的信息如帳號密碼等儘可能不要寫到Cookie中。最好是像Google、Baidu那樣將Cookie信息加密，提交到服務器後再進行解密，保證Cookie中的信息只有本身能讀得懂。而若是選擇Session就省事多了，反正是放在服務器上，Session裏任何隱私均可以。

三、Session是保存在服務器端的，每一個用戶都會產生一個Session。若是併發訪問的用戶很是多，會產生很是多的Session，消耗大量的服務器內存。所以像Google、Baidu這樣併發訪問量極高的網站，是不太可能使用Session來追蹤客戶會話的。

　　而Cookie保存在客戶端，不佔用服務器資源。若是併發瀏覽的用戶很是多，Cookie是很好的選擇。

四、cookie的容量和個數都有限制。單個cookie的容量不能超過4KB，不少瀏覽器都限制一個站點最多保存20個cookie，而session沒有此問題。

五、因此建議：將登陸信息等重要信息存放到SESSION中，其餘信息若是須要保留，能夠放在COOKIE中。

Session 和 Cache 的區別

　　Session是但用戶的會話狀態。當用戶訪問網站時，產生一個SESSIONID。並存在於COOKIES中。每次向服務器請求時，發送這個COOKIES，再從服務器中檢索是否有這個SESSIONID保存的數據。而cache則是服務器端的緩存，是全部用戶均可以訪問和共享的。由於從Cache中讀數據比較快，因此有些系統（網站）會把一些常常被使用的數據放到Cache中，提升訪問速度，優化系統性能。

若是有幾千個session，怎麼提升效率？（當session訪問量比較大的時候，怎麼解決？）

　　把session放到redis或memcache等此類內存緩存中或把session存儲到SSD硬盤上。