cookie和session 有什么区别

汪星人

状态管理
        1)什么是状态管理
                将客户端(一般是浏览器)与服务器之间的多次
5 i0 M$ Q) f" ^; c& K$ z        交互当作一个整体来看待，即将多次操作所涉及的
        数据记录下来。
        2)怎样进行状态管理
                第一种方式，在客户端管理用户的状态
                (cookie)。
                第二种方式，在服务器端管理用户的状态
! ~' T2 Q1 b0 g" w) h- B& R- [# S                (session)。
1 L. V0 i, \+ N( J        3)cookie
                a,什么是cookie?
$ V% A8 K% Z) x( R' y                        浏览器在访问服务器时，服务器将一些数据
                以set-cookie消息头的形式发送给浏览器。浏览
1 T. Z& c( U# c                器会将这些数据保存起来。当浏览器再次访问
" \' _8 X/ i( v) B: r                服务器时，会将这些数据以cookie消息头的形式
                发送给服务器。通过这种方式，可以管理用户的
                状态。
                b,怎样创建cookie?
                        Cookie cookie = new Cookie(String name,
                        String value);
$ n0 P# O8 L4 m% t                        response.addCookie(cookie);
& y3 k+ ^: a+ K' Z5 f                c,查询cookie
8 h3 M+ q, f! I                        //如果没有cookie，则返回null。
                        Cookie[] cookies = request.getCookies();
6 J) k6 X! }1 o+ c" @& p, `                        String name = cookie.getName();
                        String value = cookie.getValue();
2 F- ^) L" ?: u# n                d,cookie保存时的编码问题
                        cookie的值只能是ascii字符，如果是中文，
, A( k4 S3 ^: X: I) |$ _                        需要将中文转换成ascii字符形式。
                        可以使用URLEncoder.encode()方法和
, Q& P% x2 L# A2 f( U0 ?/ J& A                        URLDecoder.decode()方法来进行这种转换。
                e,cookie的保存时间
                        cookie.setMaxAge(int seconds);
$ s' Y9 k0 k% A% L( ^5 Y6 c                        seconds > 0:浏览器会将cookie以文件的方式
: Z& I! k7 H" s# ?                        保存在硬盘上。在超过指定的时间以后，会删除
5 L9 T5 U  y' P/ r9 k( P! i  j1 Y                        该文件。
! M3 `5 X' m  {; n                        seconds < 0:默认值，浏览器会将cookie保存
                        在内存里面。只有当浏览器关闭之后，才会删除。
% N' R/ k3 y5 u  \                        seconds = 0:删除。
( F2 z3 U; X  F5 t. G; h% w$ W                f,删除cookie
- P( I# \/ h# r. @' P/ Z5 F                        比如要删除一个name为"username"的cookie。
                        Cookie c = new Cookie("username","");
5 F4 g9 B- r* `& ]. k: z                        c.setMaxAge(0);
                        response.addCookie(c);
                g,cookie的路径问题
+ @" k- T6 {4 T9 T6 s3 S% h7 f7 s/ L                        浏览器在向服务器上的某个地址发送请求时，
' u- {! G; I/ w& Z                会先比较cookie的路径与向访问的路径(地址)是
                否匹配。只有匹配的cookie，才会发送。
                        cookie的路径可以通过
! x3 ?6 E2 ~, b% T                        cookie.setPath(String path)方法来设置。
* e" R6 l, W  n. r6 C                        如果没有设置,则有一个缺省的路径，缺省的
                        路径是生成该cookie的组件的路径。
3 d: [  D# K5 n* E* P! Z* S8 A                                比如: /appname/addCookie保存了一个cookie,
                        则该cookie的路径就是/appname/addCookie。
! ]' O; A0 S' `) M0 f8 L                       
4 o& c& S" G! S. L                        规则:
% {- d. E+ X; \# {                                cookie的路径必须是要访问的路径的上层目录
; A: x# @0 A) z8 a9 J                                或者是与要访问的路径相等，浏览器才会
                                将cookie发送给服务器。
                               
                                一般可以设置setPath("/appname"),表示访问
, o) S9 S# z; G% [3 G/ x# D8 V                                该应用下的所有地址，均会发送cookie。
                h,cookie的限制
; m4 s: m# }! K: c# |; b6 b) P; S0 n                        cookie可以禁止
4 t& I/ a2 S0 [5 G/ M7 U8 l( o                        cookie的大小有限制(4k左右)
                        cookie的数量也有限制(浏览器大约能保存300个)       
) k6 R4 G& V: i8 F/ U9 V                        cookie的值只能是字符串，要考虑编码问题。
                        cookie不安全
        练习：
2 {+ I* _0 x2 D                写一个Add_FindCookieServlet,该servlet先查询
        有没有一个名叫name的cookie，如果有，则显示
        该cookie的值，如果没有，则创建该cookie(
        cookie的名字:name,cookie的值:zs)。
               
               
; h3 Y& ]: j" t7 g' h) E) X        4)session       
                a,什么是session?
) X) e0 E- l  C* y/ V5 D  j; ^                浏览器访问服务器时，服务器会创建一个session
                对象(该对象有一个唯一的id, 一般称为sessionId)
, d; e- y+ L4 g                。服务器在缺省情况下，会将sessionId以cookie
                机制发送给浏览器。当浏览器再次访问服务器时，
. w3 X* x' s/ W1 y" Q6 p5 R$ z/ g                会将sessionId发送给服务器。服务器依据sessionId
                就可以找到对应的session对象。通过这种方式，
" @3 i' l# Q) R4 I' z5 W                就可以管理用户的状态。
                b,如何获得session对象
                        方式一:
                                HttpSession session =
                                request.getSession(boolean flag);
) V1 }- f- K. E2 x7 D0 m# R/ A                                当flag = true:
& C3 C$ Q/ X. l: ~                                        服务器会先查看请求中是否包含sessionId,
; J  v# n- U& Q2 s$ R9 t                                        如果没有，则创建一个session对象。
                                        如果有，则依据sessionId去查找对应的
% g2 B2 a$ T% y  j                                        session对象，如果找到，则返回。
                                        如果找不到，则创建一个新的session对象。
                                当flag = false:
+ v1 g6 W! c& j& r/ k& M! O6 j' y                                        服务器会先查看请求中是否包含sessionId,
& [+ F# t  ~3 p" K* U. m                                        如果没有,返回null。
                                        如果有，则依据sessionId去查找对应的
                                        session对象，如果找到，则返回。
                                        如果找不到，返回null。
9 @! V' H: A1 k8 b8 f                        方式二:
                                HttpSession session =
6 K' m( r% e# @4 t, B/ B: s8 p( W                                request.getSession();
& n) b8 D. `  p9 v( u                                与request.getSession(true)等价。
7 T/ D& |" Z# Y( {& Y                c,HttpSession接口提供的一些方法
( N( F2 f3 a3 b' I                                //获得sessionId。
                                String session.getId();
! i( t" i) r# Y                                //绑订数据
                                session.setAttribute(
                                String name,Object obj);
                                //obj最好实现Serializable接口(服务器
                                在对session进行持久化操作时，比如钝化
! G; `1 T' \+ k/ [4 [% A                                、激活，会使用序列化协议)。
: \8 ?  q+ P6 m                                Object session.getAttribute(String name);
                                //如果name对应的值不存在，返回null。
  c" ]/ n6 Z- B: ~8 B) L                                session.removeAttribute(String name);
                d,session超时
                                服务器会将超过指定时间的session对象
/ ?! ^2 Y- D1 j- a                        删除(在指定的时间内，该session对象没有
                        使用)。
                                方式一：
" c1 q7 R- b% y6 b# n                                        session.setMaxInactiveInterval(
) f; C; l! t9 Q$ B, s- ]                                int seconds);
* ~; s# _3 e9 |. {1 I                                方式二：
1 E* m# m0 J8 Z+ I; e1 ^                                        服务器有一个缺省的超时限制，可以
                                通过相应的配置文件来重新设置。
9 T. t% Q  r: y3 C& j+ @4 V8 O                                        比如可以修改tomcat的web.xml(
1 {# {, `5 t/ x/ [/ |2 A/ a                                        tomcat_home/conf下面)。
) ]* a, E& [3 b% l- K3 Q                                        <session-config>
                        <session-timeout>30</session-timeout>
( g! ?" H' L. I: T. X) k. A                            </session-config>
                                另外，也可以只修改某个应用的web.xml。
                e,删除session
6 L8 _, B' ~( X8 H# c$ S                        session.invalidate();
                       
        案例:
                session验证
                step1 在登录成功之后，在session上绑订一些数据。
) N( Y4 A. H2 {3 L        比如:
                session.setAttribute("user",user);
                step2 在访问需要保护的页面或者资源时，执行
                Object obj = session.getAttribute("user")；
                如果obj为null,说明没有登录，一般重定向到
                登录页面。

3 P# M; U; n) g