Session会话与Cookie简单说明

 

会话（Session）跟踪是Web程序中经常使用的技术，用来跟踪用户的整个会话。经常使用的会话跟踪技术是Cookie与Session。Cookie经过在客户端记录信息肯定用户身份，Session经过在服务器端记录信息肯定用户身份。常常有人会疑惑：Session会话与Cookies的区别是什么？用户登陆的原理是什么？网站是如何认证的？它怎么知道是哪一个用户从哪儿登陆进来的？下面将对这些问题进行一一解答。

Cookie机制
在程序中，会话跟踪是很重要的事情。理论上，一个用户的全部请求操做都应该属于同一个会话，而另外一个用户的全部请求操做则应该属于另外一个会话，两者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不管是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的链接就会关闭，再次交换数据须要创建新的链接。这就意味着服务器没法从链接上跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经没法判断该购买行为是属于用户A的会话仍是用户B的会话了。要跟踪该会话，必须引入一种机制。Cookie就是这样的一种机制。它能够弥补HTTP协议无状态的不足。在Session出现以前，基本上全部的网站都采用Cookie来跟踪会话。

什么是Cookie
Cookie意为"甜饼"，是由W3C组织提出，最先由Netscape社区发展的一种机制。目前Cookie已经成为标准，全部的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。因为HTTP是一种无状态的协议，服务器单从网络链接上无从知道客户身份。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，不管谁访问都必须携带本身通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工做原理。Cookie其实是一小段的文本信息。客户端请求服务器，若是服务器须要记录该用户状态，就使用response向客 户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务 器。服务器检查该Cookie，以此来辨认用户状态。服务器还能够根据须要修改Cookie的内容。

Cookie的有效期
Cookie的maxAge决定着Cookie的有效期，单位为秒（Second）。Cookie中经过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。若是maxAge属性为正数，则表示该Cookie会在maxAge秒以后自动失效。浏览器会将maxAge为正数的 Cookie持久化，即写到对应的Cookie文件中。不管客户关闭了浏览器仍是电脑，只要还在maxAge秒以前，登陆网站时该Cookie仍然有效。 下面代码中的Cookie信息将永远有效。

Session机制
除了使用Cookie，Web应用程序中还常用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增长了服务器的存储压力。

什么是Session
Session是另外一种记录客户状态的机制，不一样的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只须要从该Session中查找该客户的状态就能够了。若是说Cookie机制是经过检查客户身上的“通行证”来肯定客户身份的话，那么Session机制就是经过检查服务器上的“客户明细表”来确认客户身份。Session至关于程序在服务器上创建的一份客户档案，客户来访的时候只须要查询客户档案表就能够了。Session的使用比Cookie方便，可是过多的Session存储在服务器内存中，会对服务器形成压力。

Session的生命周期
Session保存在服务器端。为了得到更高的存取速度，服务器通常把Session放在内存里。每一个用户都会有一个独立的Session。若是Session内容过于复杂，当大量客户访问服务器时可能会致使内存溢出。所以，Session里的信息应该尽可能精简。Session在用户第一次访问服务器的时候自动建立。须要注意只有访问JSP、Servlet等程序时才会建立Session，只访问HTML、IMAGE等静态资源并不会建立Session。若是还没有生成Session，也可使用request.getSession(true)强制生成Session。Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，不管是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。

Session的有效期
因为会有愈来愈多的用户访问服务器，所以Session也会愈来愈多。为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。若是超过了超时时间没访问过服务器，Session就自动失效了。Session的超时时间为maxInactiveInterval属性，能够经过对应的getMaxInactiveInterval()获取，经过setMaxInactiveInterval(longinterval)修改。Session的超时时间也能够在web.xml中修改。另外，经过调用Session的invalidate()方法可使Session失效。

                                                  session与cookie的简单区别                                                 
session和cookie本质上确实是两个东西，但cookie同时也是session id的载体，cookie保存session id。

cookie数据存放在用户的浏览器上，session数据放在网站的服务器上。
session保存在服务器端与浏览器设置无关，cookie在客户端并受浏览器设置限制。
cookie是在你的电脑浏览器上保存的,session是在网站服务器上的. 也就是说你换一个电脑你的cookie就不起做用了, 而session只要你的浏览器不关就还能访问到.
一般的都是二者结合着用的. cookie的话你本身就能够经过对浏览器的设置禁用掉.这样就不起做用了

cookie不是很安全，别人能够分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session。
session是服务器端缓存，cookie是客户端缓存。
cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案

session会在必定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当使用cookie。
session是服务器保持客户端状态信息的方案，通常是保存在服务器中的一块内存中，session超时时间在服务器端进行设置。
cookie是客户端保持用户信息的方案，通常是文件形式保存，cookie清空时间是在客户端浏览器设置。
从开发角度说，session信息能够经过技术方案写到客户端保存，cookie中的用户信息，也能够在用户访问该网站时，经过技术手段自动更新用户的session信息。

单个cookie保存的数据不能超过4K，不少浏览器都限制一个站点最多保存20个cookie。

建议：将登录信息等重要信息存放为session；其余信息若是须要保留，能够放在cookie中.

用户登陆的原理是什么?
每次用户在网站的登陆页面中输入用户名和密码时，这些信息都会发送到服务器。服务器随后会将你的密码与服务器中的密码进行验证。
若是二者不匹配，则你会获得一个错误密码的提示。若是二者匹配，则成功登陆。

用户登陆时发生了什么?
登陆后，web 服务器会初始化一个会话session并在你的浏览器中设置一个 cookie 变量。该 cookie 变量用于做为新建会话的一个引用。
搞晕了？让咱们说的再简单一点。

会话的原理是什么?
服务器在用户名和密码都正确的状况下会初始化一个会话。会话的定义很复杂，能够把它理解为“关系的开始”。

认证经过后，服务器就开始跟用户展开一段关系了。因为服务器不能象咱们人类同样看东西，它会在咱们的浏览器中设置一个 cookie 来将咱们的关系从其余人与服务器的关系标识出来。

Cookie是干什么的?
cookie 是网站在用户的浏览器中存储的一小段数据。当用户登陆后，服务器为用户建立一段关系或者说一个会话，而后将惟一标识这个会话的会话 id 以 cookie 的形式存储在用户的浏览器中。全部这些东西存在的缘由在于识别出用户来，这样当用户写评论或者发推时，服务器能知道是谁在发评论，是谁在发推。当用户登陆后，会产生一个包含会话 id 的 cookie。这样，这个会话 id 就被赋予了那个输入正确用户名和密码的人了。也就是说，会话 id 被赋予给了拥有这个帐户的人了。以后，全部在网站上产生的行为，服务器都能经过他们的会话 id 来判断是由谁发起的。

如何让用户保持登陆状态?
会话有必定的时间限制。这一点与现实生活中不同，现实生活中的关系能够在不见面的状况下持续很长一段时间，而会话具备时间限制。用户必需要不断地经过一些动做来告诉服务器用户还在线。不然的话，服务器会关掉这个会话，而用户会被登出。不过在某些网站上能够启用"保持登陆"功能，这样服务器会将另外一个惟一变量以 cookie 的形式保存到咱们的浏览器中。这个惟一变量会经过与服务器上的变量进行对比来实现自动登陆。如有人盗取了这个惟一标识（咱们称之为 cookie stealing），他们就能访问用户的帐户了。

                                                                          其余                                                               
1) 因为Http协议是无状态的，服务端如何识别客户端请求呢，只能依靠http报文中新增部分头字段来实现请求识别（如何在请求body或这参数中设置会员参数，服务器端会话就与自定义的会员识别绑定到一块儿）
2) 基于浏览器的web应用，请求都是有浏览器发起的，貌似也不能手动随便添加请求头（仅有XMLHttpRequest能够手动设置请求头），哪有没有一种能够由服务端生成，客户端请求是自动在请求中设置对应头字段的技术呢，这就是cookie

Cookie：
cookie是在客户端负责保存的，既能够客户端生成，也能够服务器端生成，Cookie老是保存在客户端中，按在客户端中的存储位置，可分为内存Cookie和硬盘Cookie：
1）内存Cookie由浏览器维护，保存在内存中，浏览器关闭后就消失了，其存在时间是短暂的
2）硬盘Cookie保存在硬盘里，有一个过时时间，除非用户手工清理或到了过时时间，硬盘Cookie不会被删除
3）cookie一些重要的属性，path，domain，maxAge，secure，httponly，能够本身去研究一下
4）服务端生成cookie的响应头为 Set-Cookie：JSESSIONID=164A9B3B768FD959AA20505D4C09; Path=/; HttpOnly
5）客户端发送http请求带的cookie请求头 Cookie：AMCV_niwodai%40AdobeOrg=-15069…7-badf-4795-9c64-eb9960c23d48

Session的实现原理：
1）服务端首先查找对应的cookie的值（sessionid）
2）根据sessionid，从服务器端session存储中获取对应id的session数据，进行返回
3）若是找不到sessionid，服务器端就建立session，生成sessionid对应的cookie，写入到响应头中

session共享实现(如tomcat session会话共享)
传统的session由服务器端生成并存储，当应用进行分布式集群部署的时候，如何保证不一样服务器上session信息可以共享呢？
两种实现方式：1.session集中存储（redis，memcached，hbase等），2. 不一样服务器上session数据进行复制，两种方式的优缺点，你们应该一目了然

基于session集中存储的实现方案：
1）新增Filter，拦截请求，包装HttpServletRequest
2）改写getSession方法，从session存储中获取session数据，返回自定义的HttpSession实现
3）在生成新Session后，写入sessionid到cookie中

Redis存储session的须要考虑问题：
1) session数据如何在Redis中存储？
2) session属性变动什么时候触发存储？

实现思路：考虑到session中数据相似map的结构，采用redis中hash存储session数据比较合适，若是使用单个value存储session数据，不加锁的状况下，就会存在session覆盖的问题，所以使用hash存储session，每次只保存本次变动session属性的数据，避免了锁处理，性能更好;若是每改一个session的属性就触发存储，在变动较多session属性时会触发屡次redis写操做，对性能也会有影响，咱们是在每次请求处理完后，作一次session的写入，而且之写入变动过的属性若是本次没有作session的更改， 是不会作redis写入的，仅当没有变动的session超过一个时间阀值（不变动session刷新过时时间的阀值），就会触发session保存，以便session可以延长有效期