理解cookie和session机制

转自：http://sumongh.javaeye.com/blog/82498

cookie和session机制之间的区别和联系

具体来讲cookie机制采用的是在客户端保持状态的方案。它是在用户端的会话状态的存贮机制，他须要用户打开客户端的cookie支持。cookie的做用就是为了解决HTTP协议无状态的缺陷所做的努力.
而session机制采用的是一种在客户端与服务器之间保持状态的解决方案。同时咱们也看到，因为采用服务器端保持状态的方案在客户端也须要保存一个标识，因此session机制可能须要借助于cookie机制来达到保存标识的目的。而session提供了方便管理全局变量的方式
session是针对每个用户的，变量的值保存在服务器上，用一个sessionID来区分是哪一个用户session变量,这个值是经过用户的浏览器在访问的时候返回给服务器，当客户禁用cookie时，这个值也可能设置为由get来返回给服务器。
就安全性来讲：当你访问一个使用session 的站点，同时在本身机子上创建一个cookie，建议在服务器端的SESSION机制更安全些.由于它不会任意读取客户存储的信息。

正统的cookie分发是经过扩展HTTP协议来实现的，服务器经过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie
从网络服务器观点看全部HTTP请求都独立于先前请求。就是说每个HTTP响应彻底依赖于相应请求中包含的信息
状态管理机制克服了HTTP的一些限制并容许网络客户端及服务器端维护请求间的关系。在这种关系维持的期间叫作会话(session)。
Cookies是服务器在本地机器上存储的小段文本并随每个请求发送至同一个服务器。IETF RFC 2965 HTTP State Management Mechanism 是通用cookie规范。网络服务器用HTTP头向客户端发送cookies，在客户终端，浏览器解析这些cookies并将它们保存为一个本地文件，它会自动将同一服务器的任何请求缚上这些cookies

-------------------------------------------------------------------------------------------------------------------------------------------------------------------

理解session机制
session机制是一种服务器端的机制，服务器使用一种相似于散列表的结构（也可能就是使用散列表）来保存信息。

当程序须要为某个客户端的请求建立一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id，若是已包含一个session id则说明之前已经为此客户端建立过session，服务器就按照session id把这个 session检索出来使用（若是检索不到，可能会新建一个），若是客户端请求不包含session id，则为此客户端建立一个session而且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个 session id将被在本次响应中返回给客户端保存。

保存这个session id的方式能够采用cookie，这样在交互过程当中浏览器能够自动的按照规则把这个标识发挥给服务器。通常这个cookie的名字都是相似于SEEESIONID，而。好比weblogic对于web应用程序生成的cookie，JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764，它的名字就是 JSESSIONID。

因为cookie能够被人为的禁止，必须有其余机制以便在cookie被禁止时仍然可以把session id传递回服务器。常常被使用的一种技术叫作URL重写，就是把session id直接附加在URL路径的后面，附加方式也有两种，一种是做为URL路径的附加信息，表现形式为http://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另外一种是做为查询字符串附加在URL后面，表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
这两种方式对于用户来讲是没有区别的，只是服务器在解析的时候处理的方式不一样，采用第一种方式也有利于把session id的信息和正常程序参数区分开来。
为了在整个交互过程当中始终保持状态，就必须在每一个客户端可能请求的路径后面都包含这个session id。

另外一种技术叫作表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时可以把session id传递回服务器。好比下面的表单

在被传递给客户端以前将被改写成




这种技术如今已较少应用，笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。
实际上这种技术能够简单的用对action应用URL重写来代替。

在谈论session机制的时候，经常听到这样一种误解“只要关闭浏览器，session就消失了”。其实能够想象一下会员卡的例子，除非顾客主动对店家提出销卡，不然店家绝对不会轻易删除顾客的资料。对session来讲也是同样的，除非程序通知服务器删除一个session，不然服务器会一直保留，程序通常都是在用户作log off的时候发个指令去删除session。然而浏览器历来不会主动在关闭以前通知服务器它将要关闭，所以服务器根本不会有机会知道浏览器已经关闭，之因此会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个 session id就消失了，再次链接服务器时也就没法找到原来的session。若是服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然可以找到原来的session。

偏偏是因为关闭浏览器不会致使session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时间时，服务器就能够认为客户端已经中止了活动，才会把session删除以节省存储空间。

-----------------------------------------------------------------------------------------------------------------------------------------------------------------------

 由JSESSIONID谈cookie与SESSION的区别和联系

在一些投票之类的场合，咱们每每由于公平的原则要求每人只能投一票，在一些WEB开发中也有相似的状况，这时候咱们一般会使用COOKIE来实现，例如以下的代码：
< % cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
doStuffForNewbie();
//没有访问过 
}

else
{
doStuffForReturnVisitor(); //已经访问过了
}

% >

这是很浅显易懂的道理，检测COOKIE的存在，若是存在说明已经运行过写入COOKIE的代码了，然而运行以上的代码后，不管什么时候结果都是执行doStuffForReturnVisitor()，经过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件，奇怪，代码明明没有问题，不过既然有cookie，那就显示出来看看。
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}

else
{
for (int i = 0; i < cookie.length; i++)
{
out.println("cookie name:" + cookies[i].getName() + "cookie value:" +
cookie[i].getValue());
}
}

运行结果:
cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6 为何会有cookie呢,你们都知道，http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，并且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每个用户的，变量的值保存在服务器端，经过SessionID来区分不一样的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，咱们叫作session cookie,以区别persistent cookies,也就是咱们一般所说的cookie,注意session cookie是存储于浏览器内存中的，并非写到硬盘上的，这也就是咱们刚才看到的JSESSIONID，咱们一般情是看不到JSESSIONID的，可是当咱们把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，咱们就能够在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理，咱们就能够很容易的分辨出persistent cookies和session cookie的区别了，网上那些关于二者安全性的讨论也就一目了然了，session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本（一般是加密的），并且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，天然不如session cookie安全了。
一般session cookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的sessionid，这样咱们信息共享的目的就达不到了，此时咱们能够先把sessionid保存在persistent cookie中，而后在新窗口中读出来，就能够获得上一个窗口SessionID了，这样经过session cookie和persistent cookie的结合咱们就实现了跨窗口的session tracking（会话跟踪）。
在一些web开发的书中，每每只是简单的把Session和cookie做为两种并列的http传送信息的方式，session cookies位于服务器端，persistent cookie位于客户端，但是session又是以cookie为基础的，明白的二者之间的联系和区别，咱们就不难选择合适的技术来开发web service了。