cookie和session的用法用途,执行流程,区别联系

1.为何要有cookie/session?
在客户端浏览器向服务器发送请求，服务器作出响应以后,两者便会断开链接(一次会话结束)。那么下次用户再来请求服务器，服务器没有任何办法去识别此用户是谁。好比web系统经常使用的用户登陆功能，若是没有cookie机制支持，那么只能经过查询数据库实现，而且要命的是每次刷新页面都要从新输入表单信息查询一次数据库才能够识别用户，这会给开发人员带来大量冗余工做而且简单的用户登陆功能会给服务器带来巨大的压力。

在此背景下，就急需一种机制来解决此问题。分析可知，以上需求的实现就要客户端每次访问服务器时从客户端带上一些数据(至关于身份证)告知服务器本身是谁。这个数据就是cookie！而且客户端访问服务器时不能将全部cookie都带过去，好比访问百度就不能把谷歌的cookie带给百度，这个设置方式在后面介绍。

那么有了cookie，为何还要有session呢？有了cookie能够向服务器证实用户身份了，咱们的web系统中是否是须要将用户的详细信息储存在某个位置供页面调用呢？用户的详细信息就包括姓名，年龄，性别等信息。而cookie是存在于客户端的，将用户详细信息经过网络发送到客户端保存是极不安全的。且cookie大小不能超过4k，不能支持中文。这就限制cookie不能知足存储用户信息的需求。这就须要一种机制在服务器端的某个域中存储一些数据，这个域就是session。

总而言之，cookie/session的出现就是为了解决http协议无状态的弊端，为了让客户端和服务端创建长久联系而出现的。

2.什么是会话技术？
帮你存储一些在交互过程临时产生的数据

当你打开浏览器,访问一个网站,认为会话开始了,当你关闭浏览器的时候,会话结束了

3.cookie/session执行流程(这才是重点)
cookie执行流程

当你去访问应用的时候,来到服务器。服务器设置一个cookie（后边介绍api），在作响应的时候会经过set-cookie响应头将cookie带给浏览器。

来到浏览器,浏览器会将此数据保存起来,接下来再次去访问服务器的时候,浏览器会根据cookie的path属性（后边api介绍）将这些数据带回去(设置了一个叫作cookie的请求头),来到服务器,服务器有对应的api获取这些值，有了值就知道用户是谁了。

session执行流程

浏览器发起一个请求到服务器,服务器先检查你是否携带了一个叫作JSESSIONID的cookie。

若是有携带，会将此cookie的值取出来（好比为aaa123），而后从服务器的session池中找到ID为aaa123的session返回给调用者。

若是没有携带这个JSESSIONID的cookie，那么服务器将会自动建立一个session对象而且生成一个随机字符串（如aaa123）做为此session的ID保存到session池中。在服务器为客户端浏览器做响应的时候自动建立一个键为“JSESSIONID” 值为“aaa123”的cookie对象让浏览器储存起来以便下次再访问的时候带过来。
          

4.cookie的经常使用属性api
        Cookie cookie = new Cookie("name","tom"); // 新建Cookie
cookie就是键值对的数据，若是是中文不能直接设置，须要编码

        cookie.setDomain("www.baidu.com"); // 设置域名
这样设置域名的话，该cookie会被提交到www.baidu.com可是不会被提交到zhidao.baidu.com。要想都提交过去，须要这样设置cookie.setDomain(".baidu.com");

        cookie.setPath("/search"); // 设置路径   
这样设置路径，该cookie只会被提交到www.baidu.com/search路径下的页面，也就是说在www.baidu.com/aaa下的页面是获取不到该cookie的。通常cookie在某个网站里都是可用的，直接设置为/，cookie.setPath("/");

        cookie.setMaxAge(60*60*24*7); // 设置有效期
MaxAge属性单位为秒，默认为-1也就是关闭浏览器自动销毁。cookie.setMaxAge(60*60*24*7); 这样设置意思是无论浏览器关闭与否，将此cookie持久化到客户端文件里保存一周。参数为正数时浏览器都会将相应的cookie作持久化处理。

        response.addCookie(cookie); // 输出到客户端
5.session经常使用api
HttpSession session = request.getSession(); // 建立session

session.setAttribute("name","tom"); // 设置Session属性

out.println("欢迎您：" +session.getAttribute("name")); // 获取Session属性

在tomcat配置文件中配置session的超时时间
            <session-config>
                <session-timeout>分钟为单位</session-timeout>
            </session-config>

6.cookie/session的区别与联系
区别：

1.cookie存放在客户端，session存放在服务器端。

2.cookie只能存放4k的数据，而session理论上没有作限制

联系：

session虽然说存放在服务器端，可是仔细看刚才的执行流程你会明白，session是依赖于cookie的，这一点也是本篇文章想要着重强调的

7.cookie/session使用注意事项
1.cookie大小有限制 4k

2.cookie不能跨浏览器

3.cookie不支持中文

4.若是是安全性较高的数据应存放在session中，由于cookie存放在客户端总会轻易被不法分子获取

5.若是是访问量特别大的网站，尽可能不要在session中存储用户数据，由于每一个用户存一个session会给服务器形成很大的压力

8.新手使用session时常踩的坑
不少人使用session时但愿用户信息能够保存一段时间好比保存7天，因而配置了Tomcat的

<session-config>

        <session-timeout>7天</session-timeout>

</session-config>。

配置完后发现，关闭浏览器后再访问仍是取不到session。这是由于session的配置没起做用吗？不是的，其实session仍是存在于服务器的，只是没有设置cookie持久化，cookie默认就会在浏览器关闭时销毁，因此叫作JSESSIONID的cookie也被销毁了，再到服务器的时候没有这个叫JSESSIONID的cookie就取不到相关的session了。

因此，若是想7天内都能访问到session，须要将cookie也设置持久化!