Cookie的機制

     Cookie是瀏覽器（User Agent）訪問一些網站後，這些網站存放在客戶端的一組資料，用於使網站等跟蹤使用者，實現使用者自定義功能。

     Cookie的Domain和Path屬性標識了這個Cookie是哪一個網站傳送給瀏覽器的；Cookie的Expires屬性標識了Cookie的有效時間，當Cookie的有效時間過了之後，這些資料就被自動刪除了。

     如 果不設定過期時間，則表示這個Cookie生命週期為瀏覽器會話期間，只要關閉瀏覽器視窗，Cookie就消失了。這種生命期為瀏覽會話期的Cookie 被稱為會話Cookie。會話Cookie

Session的機制

     Session 是存放在伺服器端的類似於HashTable結構（每一種Web開發技術的實現可能不一樣，下文直接稱之為HashTable）來存放使用者資料，當瀏覽器 第一次傳送請求時，伺服器自動生成了一個HashTable和一個Session ID用來唯一標識這個

     一般情況下，伺服器會在一定時間內（預設20分鐘）儲存這個 HashTable，過了時間限制，就會銷燬這個HashTable。在銷燬之前，程式設計師可以將使用者的一些資料以Key和Value的形式暫時存放在這個 HashTable中。當然，也有使用資料庫將這個HashTable序列化後儲存起來的，這樣的好處是沒了時間的限制，壞處是隨著時間的增加，這個資料 庫會急速膨脹，特別是訪問量增加的時候。一般還是採取前一種方式，以減輕伺服器壓力。

Session的客戶端實現形式（即Session ID的儲存方法）

一般瀏覽器提供了兩種方式來儲存，還有一種是程式設計師使用HTML隱藏域的方式自定義實現：

[1] 使用Cookie來儲存，這是最常見的方法，本文“記住我的登入狀態”功能的實現正式基於這種方式的。伺服器通過設定Cookie的方式將Session ID傳送到瀏覽器。如果我們不設定這個過期時間，那麼這個Cookie將不存放在硬碟上，當瀏覽器關閉的時候，Cookie就消失了，這個Session ID就丟失了。如果我們設定這個時間為若干天之後，那麼這個Cookie會儲存在客戶端硬碟中，即使瀏覽器關閉，這個值仍然存在，下次訪問相應網站時，同 樣會發送到伺服器上。

[2] 使用URL附加資訊的方式，也就是像我們經常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的。這種方式和第一種方式裡面不設定Cookie過期時間是一樣的。

[3] 第三種方式是在頁面表單裡面增加隱藏域，這種方式實際上和第二種方式一樣，只不過前者通過GET方式傳送資料，後者使用POST方式傳送資料。但是明顯後者比較麻煩。

cookie與session的區別：
 cookie資料儲存在客戶端，session資料儲存在伺服器端。

 簡 單的說，當你登入一個網站的時候，如果web伺服器端使用的是session,那麼所有的資料都儲存在伺服器上面，客戶端每次請求伺服器的時候會發送 當前會話的sessionid，伺服器根據當前sessionid判斷相應的使用者資料標誌，以確定使用者是否登入，或具有某種許可權。由於資料是儲存在伺服器 上面，所以你不能偽造，但是如果你能夠獲取某個登入使用者的sessionid，用特殊的瀏覽器偽造該使用者的請求也是能夠成功的。sessionid是服務 器和客戶端連結時候隨機分配的，一般來說是不會有重複，但如果有大量的併發請求，也不是沒有重複的可能性，我曾經就遇到過一次。登入某個網站，開始顯示的 是自己的資訊，等一段時間超時了，一重新整理，居然顯示了別人的資訊。

 如果瀏覽器使用的是 cookie，那麼所有的資料都儲存在瀏覽器端，比如你登入以後，伺服器設定了 cookie使用者名稱(username),那麼，當你再次請求伺服器的時候，瀏覽器會將username一塊傳送給伺服器，這些變數有一定的特殊標記。服 務器會解釋為 cookie變數。所以只要不關閉瀏覽器，那麼 cookie變數便一直是有效的，所以能夠保證長時間不掉線。如果你能夠截獲某個使用者的 cookie變數，然後偽造一個數據包傳送過去，那麼伺服器還是認為你是合法的。所以，使用 cookie被攻擊的可能性比較大。如果設定了的有效時間，那麼它會將 cookie儲存在客戶端的硬碟上，下次再訪問該網站的時候，瀏覽器先檢查有沒有 cookie，如果有的話，就讀取該 cookie，然後傳送給伺服器。如果你在機器上面儲存了某個論壇 cookie，有效期是一年，如果有人入侵你的機器，將你的  cookie拷走，然後放在他的瀏覽器的目錄下面，那麼他登入該網站的時候就是用你的的身份登入的。所以 cookie是可以偽造的。當然，偽造的時候需要主意，直接copy   cookie檔案到 cookie目錄，瀏覽器是不認的，他有一個index.dat檔案，儲存了 cookie檔案的建立時間，以及是否有修改，所以你必須先要有該網站的 cookie檔案，並且要從保證時間上騙過瀏覽器，曾經在學校的vbb論壇上面做過試驗，copy別人的 cookie登入，冒用了別人的名義發帖子，完全沒有問題。

Session是由應用伺服器維持的一個伺服器端的儲存空間，使用者在連線伺服器時，會由伺服器生成一個唯一的SessionID,用該SessionID 為識別符號來存取伺服器端的Session儲存空間。而SessionID這一資料則是儲存到客戶端，用Cookie儲存的，使用者提交頁面時，會將這一 SessionID提交到伺服器端，來存取Session資料。這一過程，是不用開發人員干預的。所以一旦客戶端禁用Cookie，那麼Session也會失效。

伺服器也可以通過URL重寫的方式來傳遞SessionID的值，因此不是完全依賴Cookie。如果客戶端Cookie禁用，則伺服器可以自動通過重寫URL的方式來儲存Session的值，並且這個過程對程式設計師透明。

可以試一下，即使不寫Cookie，在使用request.getCookies();取出的Cookie陣列的長度也是1，而這個Cookie的名字就是JSESSIONID，還有一個很長的二進位制的字串，是SessionID的值。