cookie和session

基本概念

cookie是保存在客户端的文本数据，用来记录用户状态以及其余一些相关信息

session是保存在服务器端的数据，用来记录回话过程当中的须要保存状态的数据

cookie的主要内容包括：名字，值，过时时间，路径和域
     
      关于做用范围
      cookie中指定的路径和域共同组成该cookie的做用范围，好比说某个cookie的域是localhost，路径是test那么该cookie的做用域就是localhost/test，也就是说当你访问localhost/test这个路径下的内容时，浏览器就会将这个cookie加入咱们请求信息中一块儿传递给浏览器，而当咱们访问其余路径的内容时该cookie信息则不会被发送
     
      关于过时时间
      若是不设置过时时间，则表示这个cookie的生命期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie通常不存储在硬盘上而是保存在内存里。若是设置了过时时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过时时间。
      存储在硬盘上的cookie能够在不一样的浏览器进程间共享，好比两个IE窗口。而对于保存在内存里的cookie，不一样的浏览器有不一样的处理方式。
对于IE，在一个打开的窗口上按Ctrl-N（或者从文件菜单）打开的窗口能够与原窗口共享，而使用其余方式新开的IE进程则不能共享已经打开的窗口的内存cookie；对于Mozilla，Firefox0.8，Google全部的进程和标签页均可以共享一样的cookie。

       session与cookie的联系
       session机制通常都借助于cookie来达到保存状态的目的，咱们知道，浏览器以sessionId来标识每一个session，servlet容器将sessionId做为一个cookie数据保存在客户的浏览器中，每次客户发送http请求时就会带上这个cookie信息，服务器经过解析请求就能够得到sessionid而后找到对应的session

 

 

深刻探讨
     
1.  session什么时候被删除

       在谈论session机制的时候，经常听到这样一种误解“只要关闭浏览器，session就消失了”。之因此会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个sessionid就消失了，再次链接服务器时也就没法找到原来的session。若是服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然可以找到原来的session。偏偏是因为关闭浏览器不会致使session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就能够认为客户端已经中止了活动，才会把session删除以节省存储空间。
      事实上，session在下列状况下被删除
                 a.程序调用HttpSession.invalidate();
                 b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;
                 c.服务器进程被中止

2.  cookie被禁用后session还能工做么？

     能够！ 通常来将session的实现都是经过cookie来记录sessionId,可是当cookie被禁用是咱们仍然有其余办法来保存sessionId。最多见的就是URL重写，就是把sessionid直接附加在URL路径的后面，表现形式为    http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
那么如何实现url重写呢？
Java Servlet API 中提出了跟踪 Session 的另外一种机制，若是客户端浏览器不支持 Cookie，Servlet 容器能够重写客户请求的 URL，把 Session ID 添加到 URL 信息中。 HttpServletResponse 接口提供了重写 URL 的方法：public java.lang.String encodeURL(java.lang.String url)
   该方法的实现机制为：
      先判断当前的 Web 组件是否启用 Session，若是没有启用 Session，直接返回参数 url。
      再判断客户端浏览器是否支持 Cookie，若是支持 Cookie，直接返回参数 url；若是不支持 Cookie，就在参数 url 中加入 Session ID 信息，而后返回修改后的 url。
    咱们能够对网页中的连接稍做修改，解决以上问题：
    修改前：
        <a href=“maillogin.jsp“>
    修改后：
        <a href=“<%=response.encodeURL(“maillogin.jsp“)%>“>

3 .  第一方cookie和第三方cookie
      所谓“第一方Cookies”，指的是来自当前正在访问的网站，储存了必定信息的Cookies;所谓“第三方Cookies”指的是当前访问的网站中会加载另外第三方的代码，例如促销广告，那么第三方也会在访客的计算机上添加cookie，这种就是第三方cookie。例如访问新浪微博，京东的广告出现了，那么京东有可能就会在访客的计算器上添加这个cookie文件, 京东就属于第三方

4.   开两个浏览器窗口访问应用程序会使用同一个session仍是不一样的session        经过上面的讨论咱们能够知道，不一样的浏览器，不一样的窗口打开方式以及不一样的cookie存储方式都会对这个问题的答案有影响