前言:

       本篇文章是以實際生產中遇到的問題為導向寫的,所以在體系上沒有那麼詳細。請各位看官多多包涵，若有不當之處歡迎批評指正。

1.為什麼要有cookie/session?

在客戶端瀏覽器向伺服器傳送請求，伺服器做出響應之後,二者便會斷開連線(一次會話結束)。那麼下次使用者再來請求伺服器，伺服器沒有任何辦法去識別此使用者是誰。比如web系統常用的使用者登入功能，如果沒有cookie機制支援，那麼只能通過查詢資料庫實現，並且要命的是每次重新整理頁面都要重新輸入表單資訊查詢一次資料庫才可以識別使用者，這會給開發人員帶來大量冗餘工作並且簡單的使用者登入功能會給伺服器帶來巨大的壓力。

在此背景下，就急需一種機制來解決此問題。分析可知，以上需求的實現就要客戶端每次訪問伺服器時從客戶端帶上一些資料(相當於身份證)告知伺服器自己是誰。這個資料就是cookie！並且客戶端訪問伺服器時不能將所有cookie都帶過去，比如訪問百度就不能把谷歌的cookie帶給百度，這個設定方式在後面介紹。

那麼有了cookie，為什麼還要有session呢？有了cookie可以向伺服器證明使用者身份了，我們的web系統中是不是需要將使用者的詳細資訊儲存在某個位置供頁面呼叫呢？使用者的詳細資訊就包括姓名，年齡，性別等資訊。而cookie是存在於客戶端的，將使用者詳細資訊通過網路傳送到客戶端儲存是極不安全的。且cookie大小不能超過4k，不能支援中文。這就限制cookie不能滿足儲存使用者資訊的需求。這就需要一種機制在伺服器端

總而言之，cookie/session的出現就是為了解決http協議無狀態的弊端，為了讓客戶端和服務端建立長久聯絡而出現的。

2.什麼是會話技術？

幫你儲存一些在互動過程臨時產生的資料

當你開啟瀏覽器,訪問一個網站,認為會話開始了,當你關閉瀏覽器的時候,會話結束了

3.cookie/session執行流程(這才是重點)

cookie執行流程

當你去訪問應用的時候,來到伺服器。伺服器設定一個cookie（後邊介紹api），在做響應的時候會通過set-cookie響應頭將cookie帶給瀏覽器。

來到瀏覽器,瀏覽器會將此資料儲存起來,接下來再次去訪問伺服器的時候,瀏覽器會根據cookie的path屬性

session執行流程

瀏覽器發起一個請求到伺服器,伺服器先檢查你是否攜帶了一個叫做JSESSIONID的cookie。

如果有攜帶，會將此cookie的值取出來（比如為aaa123），然後從伺服器的session池中找到ID為aaa123的session返回給呼叫者。

如果沒有攜帶這個JSESSIONID的cookie，那麼伺服器將會自動建立一個session物件並且生成一個隨機字串（如aaa123）作為此session的ID儲存到session池中。在伺服器為客戶端瀏覽器作響應的時候自動建立一個鍵為“JSESSIONID” 值為“aaa123”的cookie物件讓瀏覽器儲存起來以便下次再訪問的時候帶過來。
          

4.cookie的常用屬性api

        Cookie cookie = new Cookie("name","tom"); // 新建Cookie

cookie就是鍵值對的資料，如果是中文不能直接設定，需要編碼

        cookie.setDomain("www.baidu.com"); // 設定域名

這樣設定域名的話，該cookie會被提交到www.baidu.com但是不會被提交到zhidao.baidu.com。要想都提交過去，需要這樣設定cookie.setDomain(".baidu.com");

        cookie.setPath("/search"); // 設定路徑   

這樣設定路徑，該cookie只會被提交到www.baidu.com/search路徑下的頁面，也就是說在www.baidu.com/aaa下的頁面是獲取不到該cookie的。一般cookie在某個網站裡都是可用的，直接設定為/，cookie.setPath("/");

        cookie.setMaxAge(60*60*24*7); // 設定有效期

MaxAge屬性單位為秒，預設為-1也就是關閉瀏覽器自動銷燬。cookie.setMaxAge(60*60*24*7); 這樣設定意思是不管瀏覽器關閉與否，將此cookie持久化到客戶端檔案裡儲存一週。引數為正數時瀏覽器都會將相應的cookie做持久化處理。

        response.addCookie(cookie); // 輸出到客戶端

5.session常用api

HttpSession session = request.getSession(); // 建立session

session.setAttribute("name","tom"); // 設定Session屬性

out.println("歡迎您：" +session.getAttribute("name")); // 獲取Session屬性

在tomcat配置檔案中配置session的超時時間
            <session-config>
                <session-timeout>分鐘為單位</session-timeout>
            </session-config>

6.cookie/session的區別與聯絡

區別：

1.cookie存放在客戶端，session存放在伺服器端。

2.cookie只能存放4k的資料，而session理論上沒有做限制

聯絡：

session雖說存放在伺服器端，但是仔細看剛才的執行流程你會明白，session是依賴於cookie的，這一點也是本篇文章想要著重強調的

7.cookie/session使用注意事項

1.cookie大小有限制 4k

2.cookie不能跨瀏覽器

3.cookie不支援中文

4.如果是安全性較高的資料應存放在session中，因為cookie存放在客戶端總會輕易被不法分子獲取

5.如果是訪問量特別大的網站，儘量不要在session中儲存使用者資料，因為每個使用者存一個session會給伺服器造成很大的壓力

8.新手使用session時常踩的坑

很多人使用session時希望使用者資訊可以儲存一段時間比如儲存7天，於是配置了Tomcat的

<session-config>

        <session-timeout>7天</session-timeout>

</session-config>。

配置完後發現，關閉瀏覽器後再訪問還是取不到session。這是因為session的配置沒起作用嗎？不是的，其實session還是存在於伺服器的，只是沒有設定cookie持久化，cookie預設就會在瀏覽器關閉時銷燬，所以叫做JSESSIONID的cookie也被銷燬了，再到伺服器的時候沒有這個叫JSESSIONID的cookie就取不到相關的session了。

所以，如果想7天內都能訪問到session，需要將cookie也設定持久化!