Session与Cookie的区别

cookie和session机制区别与联系

具 体来讲cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时咱们也看到，因为采用服务器端保持 状态的方案在客户端也须要保存一个标识，因此session机制可能须要借助于cookie机制来达到保存标识的目的，但实际上它还有其余选择。

1.cookie 机制。正统的cookie分发是经过扩展HTTP协议来实现的，服务器经过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的 cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也能够生成cookie。而cookie的使用是由浏览器按照必定的原则 在后台自动发送给服务器的。浏览器检查全部存储的cookie，若是某个cookie所声明的做用范围大于等于将要请求的资源所在的位置，则把该 cookie附在请求资源的HTTP请求头上发送给服务器。

cookie的内容主要包括：名字，值，过时时间，路径和域。路径与域一 起构成cookie的做用范围。若不设置过时时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为 浏览器会话期的cookie被称为会话cookie。会话cookie通常不存储在硬盘上而是保存在内存里，固然这种行为并非规范规定的。若设置了过时 时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过时时间。存储在硬盘上的cookie能够 在不一样的浏览器进程间共享，好比两个IE窗口。而对于保存在内存里的cookie，不一样的浏览器有不一样的处理方式
2.session机制。session机制是一种服务器端的机制，服务器使用一种相似于散列表的结构（也可能就是使用散列表）来保存信息。

当 程序须要为某个客户端的请求建立一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识（称为 sessionid），若是已包含则说明之前已经为此客户端建立过session，服务器就按照sessionid把这个session检索出来使用（检 索不到，会新建一个），若是客户端请求不包含sessionid，则为此客户端建立一个session而且生成一个与此session相关联的 session id，sessionid的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。

保存这个sessionid的方式能够采用cookie，这样在交互过程当中浏览器能够自动的按照 规则把这个标识发挥给服务器。通常这个cookie的名字都是相似于SEEESIONID。但cookie能够被人为的禁止，则必须有其余机制以便在 cookie被禁止时仍然可以把sessionid传递回服务器。

常常被使用的一种技术叫作URL重写，就是把session id直接附加在URL路径的后面。

response.encodeURL() 使 URL 包含 session ID，若是你须要使用重定向，可使用 response.encodeRedirectURL () 来对 URL 进行编码。

例：cookie没有禁用，超连接为<a href="hello.jsp"/>

cookie禁用了，URL重写为,<a href="<%=response.encodeURL("hello.jsp")%>"/> 

　　encodeURL () 及 encodeRedirectedURL () 方法首先判断 cookie 是否被浏览器支持；若是支持，则参数 URL 被原样返回，session ID 将经过 cookie来维持。

还有一种技术叫作表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时可以把sessionid传递回服务器。好比：
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" 
value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>

实际上这种技术能够简单的用对action应用URL重写来代替。