Session和Cookie会话技术

一，会话技术

概念：会话就是客户端与服务器之间的一个通信过程，一次会话中包含多次请求和响应

一次会话：客户端第一次请求服务器时建立会话，直到任意一方断开为止

作用：在一次会话的范围内的多次请求之间可以实现数据的共享

分类：

1. 客户端会话技术：Cookie
2. 服务端会话技术：Session

二，Cookie

概念：客户端会话技术，它将数据存储到客户端（浏览器）

方法：

1. new Cookie(String name，String value)：创建Cookie对象，将两个参数形成键值对绑定到当前Cookie对象中
2. response.addCookie(Cookie cookie)：发送Cookie对象给客户端
3. request.getCookies()：获取Cookie对象数组

Cookie的原理：

1. 在客户端第一次访问服务器时，服务器会将Cookie对象中的键值对，以" Set-Cookie:key=value "的形式通过响应头发送给客户端
2. 在客户端再次访问服务器时，客户端会在请求头中携带着" Cookie:key=value;… "发送给服务器

Cookie的细节：

1. 多次发送Cookie对象给客户端，如果键相同，值不同，那么原来的值会被新的值覆盖
2. 一次可以发送多个Cookie对象给客户端
3. Cookie在客户端中可以保存多久呢？

1. 默认情况，当浏览器关闭后，Cookie被销毁
2. 可以持久化存储：setMaxAge(int seconds)

1. 正数：实现了持久化存储
2. 负数：默认值，浏览器关闭时，销毁Cookie
3. 0：立即删除Cookie

4. Cookie中不能直接存储中文，要存储中文到Cookie中，在存储前要对中文内容进行编码：

String s = "中文";
s = URLEncoder.encode(s,"utf-8");

服务器获取到的请求时携带的Cookie是编码后的内容，在获取后需要对其进行解码：

String value = cookie.getValue();
value = URLDecoder.decode(value,"utf-8");

1. Cookie的作用范围，也就是说客户端在访问服务器的哪些资源时，请求头中会携带着Cookie

1. 默认情况，是当前web应用的任意资源
2. 可以通过 setPath(String path)：来设置cookie的携带路径（范围）

1. setPath("/")：表示当前服务器中的任何web应用的任何资源在被访问时都会携带着Cookie
2. setPath("/项目名/目录")：表示只有指定web应用下的指定文件夹下的任意资源在被访问时才会携带着Cookie
3. setPath("/项目名")：表示只有指定web应用下的任意资源在被访问时才会携带着Cookie
4. setPath("/项目名/文件名")：表示只有指定web应用下的指定资源在被访问时才会携带着Cookie

Cookie的特点：

1. Cookie存储数据在客户端
2. 客户端对于单个Cookie的大小有限制（4k），并且对同一域名下的Cookie数量也有限制（一般是20个）
3. Cookie存储的数据不安全，用户可以随意的清空浏览器中保存的Cookie数据

Cookie的作用：

1. 一般用于存储少量的用户信息

三，Session

概念：Session是服务端会话技术，能够在一次会话的多次请求间共享数据，将数据存储到服务端。

HttpSession 接口

方法：

1. 创建/获取Session：request.getSession()；
2. Session是一个域对象：

1. setAttribute(String key，Object value)；
2. getAttribute(String key)；
3. removeAttribute(String key)；

Session的原理：

1. Session的实现是依赖于Cookie
2. 当调用 request.getSession()时，服务器会查找客户端的请求头中是否携带了存有指定JSESSIONID的Cookie，如果没有，则创建一个Session；如果有，则获取该Session对象
3. 如果想要在关闭浏览器后（会话结束）还能访问到Session域中存储的数据，就需要对存有JSESSIONID的Cookie实现持久化

Session的细节：

1. 客户端关闭，服务器不关，两次获得到的Session是否是同一个？

1. 默认情况下，不是同一个
2. 如果想要获得的是同一个Session，必须创建一个Cookie，键为 JSESSION，值是 session.getId()，并将此Cookie持久化

Cookie c = new Cookie("JSESSIONID", session.getId());
c.setMaxAge(60);
response.addCookie(c);

1. 服务器关闭，两次获得到的Session是否是同一个？
   无论存有JSESSIONID的Cookie是否持久化，在服务器关闭时，服务器中的Session都存储到tomcat\work\Catalina\localhost\虚拟路径下，生成一个SESSION.ser的文件来保存Session中的数据，这个过程叫Session的钝化。再次打开服务器时，服务器会中这个目录下读取之前保存的SESSIONS.ser文件到服务器中，并将此文件删除，这个过程叫Session的活化。
   注：

1. 如果钝化的对象是自定义对象，需要将此类序列化
2. 多个被钝化的session会存储在同一个SESSIONS.ser文件中
3. 只有正常关闭服务器，Session才会被钝化

2. Session对象何时被销毁？

1. 在tomcat/conf下的web.xml中，默认配置session的失效时长是30分钟，也可以在当前项目web.xml中配置失效时长

<session-config>
   <session-timeout>1</session-timeout>
</session-config>

1. 可以通过 session.invalidate() 方法，立即释放session对象