Session和Cookie的區別

• 從儲存方式上比較

  • Cookie只能儲存字串，如果要儲存非ASCII字串還要對其編碼。
  • Session可以儲存任何型別的資料，可以把Session看成是一個容器

• 從隱私安全上比較

  • Cookie儲存在瀏覽器中，對客戶端是可見的。資訊容易洩露出去。如果使用Cookie，最好將Cookie加密
  • Session儲存在伺服器上，對客戶端是透明的。不存在敏感資訊洩露問題。

• 從有效期上比較

  • Cookie儲存在硬碟中，只需要設定maxAge屬性為比較大的正整數，即使關閉瀏覽器，Cookie還是存在的
  • Session的儲存在伺服器中，設定maxInactiveInterval屬性值來確定Session的有效期。並且Session依賴於名為JSESSIONID的Cookie，該Cookie預設的maxAge屬性為-1。如果關閉了瀏覽器，該Session雖然沒有從伺服器中消亡，但也就失效了。

• 從對伺服器的負擔比較

  • Session是儲存在伺服器的，每個使用者都會產生一個Session，如果是併發訪問的使用者非常多，是不能使用Session的，Session會消耗大量的記憶體。
  • Cookie是儲存在客戶端的。不佔用伺服器的資源。像baidu、Sina這樣的大型網站，一般都是使用Cookie來進行會話跟蹤。

• 從瀏覽器的支援上比較

  • 如果瀏覽器禁用了Cookie，那麼Cookie是無用的了！
  • 如果瀏覽器禁用了Cookie，Session可以通過URL地址重寫來進行會話跟蹤。

• 從跨域名上比較

  • Cookie可以設定domain屬性來實現跨域名
  • Session只在當前的域名內有效，不可誇域名

Cookie和Session共同使用

• 如果僅僅使用Cookie或僅僅使用Session可能達不到理想的效果。這時應該嘗試一下同時使用Session和Cookie

• 那麼，什麼時候才需要同時使用Cookie和Session呢？

• 在上一篇部落格中，我們使用了Session來進行簡單的購物，功能也的確實現了。現在有一個問題：我在購物的途中，不小心關閉了瀏覽器。當我再返回進去瀏覽器的時候，發現我購買過的商品記錄都沒了！！為什麼會沒了呢？原因也非常簡單：伺服器為Session自動維護的Cookie的maxAge屬性預設是-1的，當瀏覽器關閉掉了，該Cookie就自動消亡了。當用戶再次訪問的時候，已經不是原來的Cookie了。
• 我們現在想的是：即使我不小心關閉了瀏覽器了，我重新進去網站，我還能找到我的購買記錄。

• 要實現該功能也十分簡單，問題其實就在：伺服器為Session自動維護的Cookie的maxAge屬性是-1，Cookie沒有儲存在硬碟中。我現在要做的就是：把Cookie儲存在硬碟中，即使我關閉了瀏覽器，瀏覽器再次訪問頁面的時候，可以帶上Cookie，從而伺服器識別出Session。

• 第一種方式：只需要在處理購買頁面上建立Cookie，Cookie的值是Session的id返回給瀏覽器即可

        Cookie cookie = new Cookie("JSESSIONID",session.getId());
        cookie.setMaxAge(30*60);
        cookie.setPath("/ouzicheng/");
        response.addCookie(cookie);

• 第二種方式： 在server.xml檔案中配置，將每個使用者的Session在伺服器關閉的時候序列化到硬碟或資料庫上儲存。但此方法不常用，知道即可！

• 下面看一下效果