# 一、为什么要有session和cookies {#一、为什么要有session和cookies}
如今的网络通信方式采用的是http协议,而http协议是无状态的协议,因此一旦数据交换结束之后,客户端和服务器端的连接就断了。意味着你再发一条请求时,服务器是无法记住你的。因此必须引入一些机制来让客户端能记住服务器端。
Cookie:Cookie能把用户信息保存到本地,当需要发送请求时,客户端把个人信息通过Cookie一起发送给服务器端,服务器通过读取cookie就可以知道这次发送请求的人是谁。但是Cookie也有缺点,由于是存在本地的,那就免不了有信息泄露或者信息伪造的风险。并且浏览器还可以禁用Cookie。于是出现了Session。
Session:你可以把Session理解成存放在服务器端的"Cookie",当然这种说法不是完全正确的,Session和Cookie在许多方面也有区别,这个会放到后面讲。使用session后,服务器端会建立一份客户端信息表。当客户端发送请求过来时,只需要查询是否有与之对应的session数据即可。
# 二、Session是如何知道谁是谁? {#二、session是如何知道谁是谁}
最开始学习Session我也有这样一个问题,即使我知道服务器端存放了客户信息,但是Session是如何去判断发送请求的是哪个客户呢?多数容器通过Cookie来实现Session机制,简单来讲,Session生成之后,会在客户端的Cookie中也保存一份,使客户端和服务器端相对应。
# 三、Session具体实现机制 {#三、session具体实现机制}
1、当服务器端创建了一个HttpSession对象之后,会生成一个名为JSESSIONID的值,并返回给对应客户端的cookie中。
2、后续客户端再发送请求后,服务器端会先从cookie中获取到JSESSIONID的值,根据值找到对应的session。
3、如果没有JSESSIONID,就意味着互相不认识,重复第一步的操作。 这里生成JSESSIONID和读取JSESSIONID的动作WEB容器都会帮我们做的,不需要手动去写代码。
但是浏览器可以禁用cookie,这时候session也可以实现。
原理很简单,既然cookie中不让我存了,那我就直接存到连接地址后面,比如访问服务器后生成jsessionid=xxxxxxxxxxxxx,返回给服务器端时就在连接后加上这段值:localhost:8080/index;jsessionid=xxxxxxxxxxxxx。 这种方式在java中可通过response.encodeURL()方法或者response.encodeRedirectedURL()实现。
# (2.4)Cookie和Session的区别 {#_2-4-cookie和session的区别}
存储位置不同,Session存在服务器端,cookie存在客户端。 可保存的内容不同,Session可以保存任意对象,Cookie只能保存字符串。 生命周期不同,Session会随着会话的关闭而消失,而Cookie可以长期保存在本地。