一文搞懂Session和Cookie的用法及區別

1. Session、Cookie是什麼

1.1 概念理解

要了解session和cookie是什麼，先要了解如下幾個概念。

1.1.1 無狀態的HTTP協議

協議：是指計算機通訊網絡中兩臺計算機之間進行通訊所必須共同遵照的規定或規則。

超文本傳輸協議(HTTP)：是一種通訊協議，它容許將超文本標記語言(HTML)文檔從Web服務器傳送到客戶端的瀏覽器。

HTTP協議是無狀態的協議。一旦數據交換完畢，客戶端與服務器端的鏈接就會關閉，再次交換數據須要創建新的鏈接。這就意味着服務器沒法從鏈接上跟蹤會話。

1.1.2 會話（Session）跟蹤

會話：指用戶登陸網站後的一系列動做，好比瀏覽商品添加到購物車併購買。會話（Session）跟蹤是Web程序中經常使用的技術，用來跟蹤用戶的整個會話。經常使用的會話跟蹤技術是Session與Cookie。Session經過在服務器端記錄信息肯定用戶身份，Cookie經過在客戶端記錄信息肯定用戶身份。

1.2 Cookie

因爲HTTP是一種無狀態的協議，服務器單從網絡鏈接上無從知道客戶身份。用戶A購買了一件商品放入購物車內，當再次購買商品時服務器已經沒法判斷該購買行爲是屬於用戶A的會話仍是用戶B的會話了。怎麼辦呢？就給客戶端們頒發一個通行證吧，每人一個，不管誰訪問都必須攜帶本身通行證。這樣服務器就能從通行證上確認客戶身份了。這就是Cookie 的工做原理。

Cookie其實是一小段的文本信息。客戶端請求服務器，若是服務器須要記錄該用戶狀態，就使用response向客戶端瀏覽器頒發一個Cookie。客戶端會把Cookie保存起來。

當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給服務器。服務器檢查該Cookie，以此來辨認用戶狀態。服務器還能夠根據須要修改Cookie的內容。

1.2.1 會話Cookie和持久Cookie 若不設置過時時間，則表示這個cookie的生命期爲瀏覽器會話期間，關閉瀏覽器窗口，cookie就消失。這種生命期爲瀏覽器會話期的cookie被稱爲會話cookie。會話cookie通常不存儲在硬盤上而是保存在內存裏，固然這種行爲並非規範規定的。

若設置了過時時間，瀏覽器就會把cookie保存到硬盤上，關閉後再次打開瀏覽器，這些cookie仍然有效直到超過設定的過時時間。存儲在硬盤上的cookie能夠在瀏覽器的不一樣進程間共享。這種稱爲持久Cookie。

1.2.2 Cookie具備不可跨域名性

就是說，瀏覽器訪問百度不會帶上谷歌的cookie

1.3 Session

Session是另外一種記錄客戶狀態的機制，不一樣的是Cookie保存在客戶端瀏覽器中，而Session保存在服務器上。客戶端瀏覽器訪問服務器的時候，服務器把客戶端信息以某種形式記錄在服務器上，這就是Session。客戶端瀏覽器再次訪問時只須要從該Session中查找該客戶的狀態就能夠了。每一個用戶訪問服務器都會創建一個session並自動分配一個SessionId，用於標識用戶的惟一身份。

1.3.1 兩個問題

1）如何在每次請求時都把SessionId自動帶到服務器呢？

那就是cookie了，若是你想爲用戶創建一次會話，能夠在用戶受權成功時返回一個惟一的cookie。當一個用戶再次發起請求時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中（這是瀏覽器的自動功能，用戶不會察覺到，開發人員也不需操做），當服務器處理完這個請求後，將結果返回給 SessionId 所對應的用戶。

2）儲存須要的信息。

服務器經過SessionId做爲key，讀寫對應的value，這就達到了保持會話信息的目的。

1.3.2 Session的建立

當程序須要爲某個客戶端的請求建立一個session時，服務器首先檢查這個客戶端的請求裏是否已包含了sessionId，若是已包含則說明之前已經爲此客戶端建立過session，服務器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個），若是客戶端請求不包含sessionId，則爲此客戶端建立一個session而且生成一個與此session相關

聯的sessionId，sessionId的值是一個既不會重複，又不容易被找到規律以仿造的字符串，這個sessionId將被在本次響應中返回給客戶端保存。

1.3.3 禁用cookie

若是客戶端禁用了cookie，一般有兩種方法實現session而不依賴cookie。

1）URL重寫。就是把sessionId直接附加在URL路徑的後面。

2）表單隱藏域。服務器會自動修改表單，添加一個隱藏字段，以便在表單提交時可以把sessionId傳回服務器。

好比：

<form name="walking-form" action="/xxx/xxx"> 
    <input type="hidden" name="JSessionId" value="NaOw3vjFW75aKnsF2C2HmdnV9LZcEbzWoWiBdHnLerjQ99zmpQng!-142002807"> 
    <input type="text"> 
</form>
複製代碼

四、Session共享 對於多網站(同一父域不一樣子域)單服務器，咱們須要解決的就是來自不一樣網站之間SessionId的共享。因爲域名不一樣(aaa.walking.com 和 bbb.walking.com)，而SessionId又分別儲存在各自的cookie中，所以服務器會認爲對於兩個子站的訪問，是來自不一樣的會話。解決的方法是經過修改cookies的域名爲父域名達到cookie共享的目的，從而實現SessionId的共享（非服務器集羣session共享）。帶來的弊端就是，子站間的cookie信息也同時被共享了。

1.4 應用場景

登陸網站，今輸入用戶名密碼登陸了，次日再打開不少狀況下就直接打開了。這個時候用到的一個機制就是cookie。 session一個場景是購物車，添加了商品以後客戶端處能夠知道添加了哪些商品，而服務器端如何判別呢，因此也須要存儲一些信息就用到了session。

2. 怎麼操做Session

在Java Web開發中，Session爲咱們提供了不少方便，Session是由瀏覽器和服務器之間維護的。在傳統的java web開發，咱們經過實現 javax.servlet.Servlet 接口或繼承 javax.servlet.http.HttpServlet 來實現客戶端和服務端以Http協議交互。

2.1 操做Session的API

對Session的操做以下：

@Override
public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
    HttpServletRequest request = (HttpServletRequest) servletRequest;
    HttpSession session = request.getSession();
    
    session.setAttribute("userName","walking");//設置屬性
    session.setMaxInactiveInterval(30*60);//過時時間 單位秒
    session.getCreationTime();//獲取session的建立時間
    session.getLastAccessedTime();//獲取上次與服務器交互時間
    String id = session.getId();//獲取sessionId
    int timeout = session.getMaxInactiveInterval();//獲取session過時時間
    session.invalidate();//銷燬session
}
複製代碼

客戶端與服務端對用戶信息的維持有一個時間限制，因爲客戶端長時間（休眠時間）沒有與服務器交互，該session被認爲已過時，服務器將此Session銷燬，客戶端再一次與服務器交互時以前的Session就不存在了。這就是session的過時。

2.2 設置Session過時時間

2.2.1 傳統web項目中設置Session過時時間

一、在web.xml中設置session-config

以下：

<session-config>
      <session-timeout>2</session-timeout>
</session-config>
複製代碼

即，客戶端連續兩次與服務器交互間隔時間最長爲2分鐘，2分鐘後session.getAttribute()獲取的值爲空。原來的session已被銷燬，重新的session裏獲取以前設置的屬性值天然就爲空了。

二、在Tomcat的/conf/web.xml中

session-config,默認值爲：30分鐘

<session-config>
     <session-timeout>30</session-timeout>
</session-config>
複製代碼

三、在Servlet中設置

HttpSession session = request.getSession();
session.setMaxInactiveInterval(60);//單位爲秒
複製代碼

2.2.2 SpringBoot項目中設置Session過時時間

2.3 說明

1.優先級：Servlet中API設置 > 程序/web.xml設置 > Tomcat/conf/web.xml設置

2.若訪問服務器session超時（本次訪問與上次訪問時間間隔大於session最大的不活動的間隔時間）了，即上次會話結束，但服務器與客戶端會產生一個新的會話，以前的session裏的屬性值所有丟失，產生新的sesssionId

3.客戶端與服務器一次有效會話（session沒有超時），每次訪問sessionId相同，若代碼中設置了session.setMaxInactiveInterval()值，那麼這個session的最大不活動間隔時間將被修改，並被應用爲新值。

4.Session的銷燬（表明會話週期的結束）：在某個請求週期內調用了Session.invalidate()方法，此請求週期結束後，session被銷燬；或者是session超時後自動銷燬；或者客戶端關掉瀏覽器

5.對於JSP，若是指定了<%@ page session="false"%>，則在JSP中沒法直接訪問內置的session變量，同時也不會主動建立session，由於此時JSP未自動執行request.getSession()操做獲取session。

3. 操做Cookie

3.1 服務端操做Cookie

前面說過，客戶端每次請求服務器會把cookie信息放到header頭信息中，咱們能夠經過 HttpServletRequest.getCookies()方法獲取全部cookie對象，經過 HttpServletResponse 對象的addCookie方法向客戶端返回cookie。

具體操做API以下：

Cookie[] cookies = request.getCookies();//request對象獲取全部cookie
for (Cookie cookie : cookies) {
    String name = cookie.getName();//cookie name
    String value = cookie.getValue();//cookie value
    String domain = cookie.getDomain();//域名
    int maxAge = cookie.getMaxAge();//過時時間
    boolean secure = cookie.getSecure();//瀏覽器經過安全協議發送cookies 返回true
    String comment = cookie.getComment();//描述
    int version = cookie.getVersion();//版本
    //以上除name屬性都有對應set方法

    boolean httpOnly = cookie.isHttpOnly();//是否Httponly
    cookie.setHttpOnly(true);//設置Httponly值
}
//new cookie對象
Cookie cookie = new Cookie("userName","walking");
cookie.setPath("/");
cookie.setMaxAge(60*30);//30分鐘
response.addCookie(cookie);//回寫給客戶端瀏覽器
複製代碼

3.2 前端操做cookie

前端建立設置cookie

/** * 建立並設置cookie * @param name cookie名稱 * @param value cookie值 * @param expires 過時時間 毫秒 不填則默認30分 */
function Setcookie(name, value, expires) {
    //設置名稱爲name,值爲value的Cookie
    expires = expires || 30* 60 * 1000;
    var expdate = new Date();   //初始化時間
    expdate.setTime(expdate.getTime() + expires);   //時間
    //即document.cookie= name+"="+value+";path=/"; 時間能夠不要，但路徑(path)必需要填寫，
    // 由於JS的默認路徑是當前頁，若是不填，此cookie只在當前頁面生效！~
    document.cookie = name + "=" + value + ";expires=" + expdate.toGMTString() + ";path=/";
}
複製代碼

前端獲取cookie屬性值

/** * 獲取對應cookie屬性的value * @param c_name cookie屬性name * @returns {string} cookie value */
function getCookie(c_name) {
    if (document.cookie.length > 0) {
        c_start = document.cookie.indexOf(c_name + "=");
        if (c_start != -1) {
            c_start = c_start + c_name.length + 1;
            c_end = document.cookie.indexOf(";", c_start);
            if (c_end == -1) c_end = document.cookie.length;
            return unescape(document.cookie.substring(c_start, c_end));
        }
    }
    return "";
}
複製代碼

4. 總結

一、cookie數據存放在客戶的瀏覽器上，session數據放在服務器上。

二、cookie不是很安全，別人能夠分析存放在本地的cookie並進行cookie欺騙，考慮到安全應當使用session。

三、session會在必定時間內保存在服務器上。當訪問增多，會比較佔用你服務器的性能，考慮到減輕服務器性能方面，應當使用cookie。

四、單個cookie保存的數據不能超過4K，不少瀏覽器都限制一個站點最多保存20個cookie。

五、能夠考慮將登陸信息等重要信息存放爲session，其餘信息若是須要保留，能夠放在cookie中。

六、在程序開發過程當中，咱們能夠在客戶端每次與服務器交互時檢查SessionID（Session中屬性值，非HttpServlet環境開發中也能夠用其它的Key值代替），用於會話管理。

原文連接