cookie和session 有什么区别

汪星人

状态管理
        1)什么是状态管理
) t* X) A! J) H+ {                将客户端(一般是浏览器)与服务器之间的多次
        交互当作一个整体来看待，即将多次操作所涉及的
% m2 Z5 [) H; [" V, ^2 Q        数据记录下来。
        2)怎样进行状态管理
                第一种方式，在客户端管理用户的状态
                (cookie)。
; x$ _+ F: y. B; K                第二种方式，在服务器端管理用户的状态
                (session)。
! C/ c: K( E& y4 n; D7 s, w/ T5 _        3)cookie
4 f4 K$ a8 G7 O- ]  H7 x                a,什么是cookie?
/ O; G5 U- x" x9 k                        浏览器在访问服务器时，服务器将一些数据
                以set-cookie消息头的形式发送给浏览器。浏览
/ ]5 G4 j6 m" w( g                器会将这些数据保存起来。当浏览器再次访问
                服务器时，会将这些数据以cookie消息头的形式
5 S: i$ e0 Y- U, u2 d. `, M                发送给服务器。通过这种方式，可以管理用户的
                状态。
% G. J& d8 E/ W/ ^! i                b,怎样创建cookie?
! b, S" K) Y( j( |2 a                        Cookie cookie = new Cookie(String name,
8 Z9 j( U% ]2 i8 S0 J                        String value);
                        response.addCookie(cookie);
; W  [" o$ G9 Q                c,查询cookie
                        //如果没有cookie，则返回null。
                        Cookie[] cookies = request.getCookies();
5 G, I5 X# k$ n' G6 d( D+ A9 f/ y                        String name = cookie.getName();
                        String value = cookie.getValue();
                d,cookie保存时的编码问题
                        cookie的值只能是ascii字符，如果是中文，
                        需要将中文转换成ascii字符形式。
                        可以使用URLEncoder.encode()方法和
                        URLDecoder.decode()方法来进行这种转换。
                e,cookie的保存时间
                        cookie.setMaxAge(int seconds);
                        seconds > 0:浏览器会将cookie以文件的方式
                        保存在硬盘上。在超过指定的时间以后，会删除
                        该文件。
/ u( x1 L. M, ^% q                        seconds < 0:默认值，浏览器会将cookie保存
# h+ l# A0 E3 v8 ?4 n2 L- \' Z                        在内存里面。只有当浏览器关闭之后，才会删除。
- I6 Y3 E% y' v% s6 [8 X: e; y                        seconds = 0:删除。
7 ^: J) e9 H( D) K( ~                f,删除cookie
                        比如要删除一个name为"username"的cookie。
: ~  V8 C& c3 V; [& b8 p                        Cookie c = new Cookie("username","");
& G! r5 |8 S0 J7 Z& I0 D. J# z                        c.setMaxAge(0);
                        response.addCookie(c);
                g,cookie的路径问题
                        浏览器在向服务器上的某个地址发送请求时，
                会先比较cookie的路径与向访问的路径(地址)是
& R0 h. B2 z0 j4 b7 K/ Q                否匹配。只有匹配的cookie，才会发送。
# y+ l( h7 |+ o7 o8 t7 R                        cookie的路径可以通过
                        cookie.setPath(String path)方法来设置。
                        如果没有设置,则有一个缺省的路径，缺省的
                        路径是生成该cookie的组件的路径。
$ S8 v0 Q) ~: ^7 e/ s0 A                                比如: /appname/addCookie保存了一个cookie,
                        则该cookie的路径就是/appname/addCookie。
0 Y" o) l/ _2 [: L3 n1 S                       
4 C3 k/ L. s+ a2 u( `5 v                        规则:
+ B$ O% i' S3 b  Y7 ?                                cookie的路径必须是要访问的路径的上层目录
                                或者是与要访问的路径相等，浏览器才会
                                将cookie发送给服务器。
                               
/ g7 k1 K  c+ D3 z4 ^                                一般可以设置setPath("/appname"),表示访问
  g1 c7 F2 F' R' h7 i- L+ E                                该应用下的所有地址，均会发送cookie。
7 A* o6 h+ n7 `5 `% x' c4 ?7 u                h,cookie的限制
                        cookie可以禁止
                        cookie的大小有限制(4k左右)
, a! y/ f- H, Z9 I                        cookie的数量也有限制(浏览器大约能保存300个)       
& h" q& R" a% F9 \  O  ?9 e. ~                        cookie的值只能是字符串，要考虑编码问题。
                        cookie不安全
; M! K- E9 l- z/ B# l9 L, t        练习：
: d5 |8 {4 _2 h1 @6 N                写一个Add_FindCookieServlet,该servlet先查询
) G4 s, X5 T' b3 V5 M5 S' L        有没有一个名叫name的cookie，如果有，则显示
        该cookie的值，如果没有，则创建该cookie(
% X  P% q9 S4 Q! r# J) m; b' R$ L        cookie的名字:name,cookie的值:zs)。
               
               
( c- B: ]" c; H; ]0 D9 i        4)session       
                a,什么是session?
                浏览器访问服务器时，服务器会创建一个session
4 q- u1 m* ^6 _: i  Q! Z                对象(该对象有一个唯一的id, 一般称为sessionId)
" h/ M* q+ F! ^+ C                。服务器在缺省情况下，会将sessionId以cookie
                机制发送给浏览器。当浏览器再次访问服务器时，
                会将sessionId发送给服务器。服务器依据sessionId
                就可以找到对应的session对象。通过这种方式，
0 F- R3 Y; z% K3 G3 W1 }                就可以管理用户的状态。
                b,如何获得session对象
                        方式一:
& J, H" O& a7 g( b2 v) ]                                HttpSession session =
                                request.getSession(boolean flag);
                                当flag = true:
                                        服务器会先查看请求中是否包含sessionId,
" \! S9 O" r. E8 Q. u! h9 g                                        如果没有，则创建一个session对象。
- j# U* O2 |2 o' Z! |( @                                        如果有，则依据sessionId去查找对应的
. n+ D* j3 A7 e( V- {( ?                                        session对象，如果找到，则返回。
                                        如果找不到，则创建一个新的session对象。
                                当flag = false:
+ B: |* D% Y6 L                                        服务器会先查看请求中是否包含sessionId,
: A# [$ D( e/ j+ v% L7 T8 a" s5 u                                        如果没有,返回null。
                                        如果有，则依据sessionId去查找对应的
                                        session对象，如果找到，则返回。
                                        如果找不到，返回null。
) J( o( I3 w8 U. A% _9 Z' ]                        方式二:
$ J; g& B+ n1 L1 N- E                                HttpSession session =
7 M- c% D4 y6 k; ~; b( |* O                                request.getSession();
2 O8 c: m' Q. W) q% X                                与request.getSession(true)等价。
                c,HttpSession接口提供的一些方法
9 h6 ?, \) w+ a& o9 X. H                                //获得sessionId。
7 {$ W: }9 i  T4 y                                String session.getId();
                                //绑订数据
                                session.setAttribute(
                                String name,Object obj);
                                //obj最好实现Serializable接口(服务器
4 i/ Q, n) e; c# a                                在对session进行持久化操作时，比如钝化
                                、激活，会使用序列化协议)。
3 [1 S2 J  |0 P' N                                Object session.getAttribute(String name);
3 _9 ], |( B4 r5 D9 v                                //如果name对应的值不存在，返回null。
; l# x& j7 j* `6 b                                session.removeAttribute(String name);
                d,session超时
                                服务器会将超过指定时间的session对象
                        删除(在指定的时间内，该session对象没有
7 f+ ^7 ~  ]$ ]1 J% `, H/ f                        使用)。
                                方式一：
                                        session.setMaxInactiveInterval(
                                int seconds);
/ B& s! A; o# D                                方式二：
! |& C. F* A# O) b# I                                        服务器有一个缺省的超时限制，可以
                                通过相应的配置文件来重新设置。
                                        比如可以修改tomcat的web.xml(
                                        tomcat_home/conf下面)。
3 A6 [+ I8 U1 P  d4 C9 p4 _                                        <session-config>
                        <session-timeout>30</session-timeout>
  K) c( Z* }) C: N# I! ~# t                            </session-config>
+ b6 y( T" C$ F/ Y                                另外，也可以只修改某个应用的web.xml。
3 X- ~" h) ~1 F5 @1 z! T                e,删除session
) k4 S/ v9 Q5 [4 w# f+ a+ s) g                        session.invalidate();
  V1 M) [3 V, {* i3 S                       
        案例:
                session验证
) o- G: y7 B- I3 l% E1 T. s! l; _                step1 在登录成功之后，在session上绑订一些数据。
' `  Z, |2 q2 Z! t, Q# F' C$ `3 w- X        比如:
$ K: |' w( }! _5 o" R: E6 R. ], h' G                session.setAttribute("user",user);
                step2 在访问需要保护的页面或者资源时，执行
                Object obj = session.getAttribute("user")；
! A& Z/ O/ r1 |% g2 w# @8 x                如果obj为null,说明没有登录，一般重定向到
                登录页面。

9 P' Z& r8 P' j5 s% |$ W  U