JSESSIONID谈cookie与SESSION的区别和联系【转贴】

最新推荐文章于 2025-06-29 20:07:33 发布
最新推荐文章于 2025-06-29 20:07:33 发布
阅读量1.4k 收藏 1
点赞数
分类专栏: JAVA 文章标签: session 浏览器 cookies 服务器 servlet web开发
本文探讨了HTTP协议中会话(session)与Cookie的工作原理及应用。详细解释了如何利用Cookie进行用户唯一标识,以及session机制如何确保用户状态的连续性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

 

1:在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:
< % cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
doStuffForNewbie();
//没有访问过
}

else
{
doStuffForReturnVisitor(); //已经访问过了
}

% >

这是很浅显易懂的道理,检测COOKIE的存在,如果存在说明已经运行过写入COOKIE的代码了,然而运行以上的代码后,无论何时结果都是执行doStuffForReturnVisitor(),通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件,奇怪,代码明明没有问题,不过既然有cookie,那就显示出来看看。
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}

else
{
for (int i = 0; i < cookie.length; i++)
{
out.println("cookie name:" + cookies[i].getName() + "cookie value:" +
cookie[i].getValue());
}
}

运行结果:
cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6 为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的,并不是写到硬盘上的,这也就是我们刚才看到的JSESSIONID,我们通常情是看不到JSESSIONID的,但是当我们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理,我们就可以很容易的分辨出persistent cookies和session cookie的区别了,网上那些关于两者安全性的讨论也就一目了然了,session cookie针对某一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本(通常是加密的),而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击,自然不如session cookie安全了。
通常session cookie是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样我们信息共享的目的就达不到了,此时我们可以先把sessionid保存在persistent cookie中,然后在新窗口中读出来,就可以得到上一个窗口SessionID了,这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking(会话跟踪)。
在一些web开发的书中,往往只是简单的把Session和cookie作为两种并列的http传送信息的方式,session cookies位于服务器端,persistent cookie位于客户端,可是session又是以cookie为基础的,明白的两者之间的联系和区别,我们就不难选择合适的技术来开发web service了。

 

2:

 

  我们可以设计一个Servlet,来看一看session到底是怎么工作的。

        在Servlet中,可以设计这样的代码:

 
  1. //打印出sessionid,用来判断session是否新建  
  2. HttpSession session = request.getSession();  
  3. System.out.println("::SESSION ID IS : " + session.getId());  
  4.           
  5. //打印出请求报头中的内容  
  6. Enumeration enu_req_headers = request.getHeaderNames();  
  7. while(enu_req_headers.hasMoreElements()) {  
  8.     String headerName = (String)enu_req_headers.nextElement();  
  9.     if(!headerName.equals("cookie")) {//非Cookie报头  
  10.         System.out.println(headerName);  
  11.     }  
  12.     else {//Cookie报头  
  13.         String content = request.getHeader("cookie");  
  14.         System.out.println("::cookie : " + content);  
  15.     }  
  16. }  
  17.           
  18. //响应中是否含有Set-Cookie,浏览器的下次提交将会受此影响  
  19. boolean containCookie = response.containsHeader("Set-Cookie");  
  20. System.out.println("::If The Response Contain Header:Set-Cookie? : "+containCookie);  
  21.           
  22. //判断此session是否是新创建的  
  23. System.out.println("::If The Session is NEW : " + request.getSession().isNew());  
  24. System.out.println();  


来查看session的工作情况。

1、session是在何种情况下创建的?

        重启服务器,重新打开浏览器(这里就用IE了)。输入地址,得到输出为:

 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  


注意到,在请求报头中,没有cookie的内容。但在response响应中,有Set-Cookie的要求,这将影响到下一次浏览器的请求。

          刷新一下,得到的输出为:

 
 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=42DE852FBD9E23C5CA5E06E883D6F466  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

可以看到,浏览器向服务器提交了cookie,使用的是原来的session。由于这里并没有新建session,因此也没有了Set-Cookie的要求。

          关闭浏览器的接受cookie功能,重启浏览器,并刷新一次页面,可以得到以下输出:

  1. ::SESSION ID IS : 5BF9763193E7E6FAF959B4224ED18977  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::If The Response Contain Header:Set-Cookie? : true  
  19. ::If The Session is NEW : true  

可以看到,每次的请求都会创建一个session,并且每次都会有Set-Cookie的要求。

          我在地址栏的地址后面加上 ;jsessionid=EB216E0FE7FAD5CAF9C6A472F0D72195,再次刷新页面,可以看到这样的输出:

  1. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : false  
  9. ::If The Session is NEW : false  

可以看到,没有新建session,也没有Set-Cookie的要求。这里就是使用URL重写来实现的会话跟踪。但若jsessionid的值在现有session中找不到,servlet容器还是会创建一个新的session。

          现在,将浏览器的接收cookie功能打开,验证最后一个特征。

          先重启一下浏览器,刷新一下,得到的输出如下:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  19. ::If The Response Contain Header:Set-Cookie? : false  
  20. ::If The Session is NEW : false  

现在,重启服务器,但不要关闭浏览器。待服务器重启完毕,再刷新一下页面,可以看到这样的输出:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

怎么还是用的先前那个session?这个session在服务器重启时候就应该没有了啊。

根据以上这些输出,可以得知,在tomcat中,创建session的规律:

1、创建session的时候会附带着创建一个cookie,它的MaxAge为-1,也就是说只能存在于内存中。当浏览器端禁用cookie时,这个cookie依然会被创建。

2、当浏览器提交的请求中有jsessionid参数或cookie报头时,容器不再新建session,而只是找到先前的session进行关联。这里又分为两种情况:
    1)使用jsessionid。该值若能与现有的session对应,就不创建新的session,否则,仍然创建新的session。
    2)使用cookie。该值若能与现有的session对应,也不创建新的session;但若没有session与之对应(就如上面的重启服务器之后)容器会根据cookie信息恢复这个与之对应的session,就好像是以前有过一样。

2、session何时被销毁?
         当我们关闭浏览器,再打开它,连接服务器时,服务器端会分配一个新的session,也就是说会启动一个新的会话。那么原来的session是不是被销毁了呢?
         通过实现一个SessionListener可以发现,当浏览器关闭时,原session并没有被销毁(destory方法没有执行),而是等到timeout到期,才销毁这个session。关闭浏览器只是在客户端的内存中清除了与原会话相关的cookie,再次打开浏览器进行连接时,浏览器无法发送cookie信息,所以服务器会认为是一个新的会话。因此,如果有某些与session关联的资源想在关闭浏览器时就进行清理(如临时文件等),那么应该发送特定的请求到服务器端,而不是等到session的自动清理。
CookieSession 实现登录操作
oageux的博客
07-25 2170
使用Cookie Session实现登录操作
PHP中的CookieSession区别用法
Xs_layla的博客
04-26 974
当用户访问网站时,服务器会为其分配一个唯一的会话标识符(Session ID),并将该标识符存储在客户端的Cookie中(或通过URL重写等方式传递)。总结来说,CookieSession在PHP中都是用于保存用户状态信息的重要技术,它们各有优缺点,适用于不同的场景。同时,为了保障用户数据的安全性隐私性,应加强对CookieSession的管理保护措施,防止恶意攻击数据泄露。在PHP中,CookieSession都是用于保存用户状态信息的重要技术,它们在Web开发中扮演着不可或缺的角色。
JSESSIONID Session Cookie
2301_80096362的博客
06-29 769
JSESSIONID是 Java Web 应用(如基于 Tomcat、Spring 的服务)用于跟踪用户会话(Session)的,通常以的形式存储在浏览器中。它的核心作用是实现服务器端的会话管理(Session Management),确保用户在不同请求间保持状态。ABC123JSESSIONIDSet-Cookie当用户首次访问网站时,服务器(如 Tomcat)会自动创建一个 Session 并生成JSESSIONID
cookieJsessionid
11-10 2510
1.session的实现方式 做web开发的同学都知道,http是无状态的会话协议,也就是说无法保存用户的信息。那如果有一些信息需要在用户的浏览活动中一直保持,该怎么做呢?我 们可以把这些信息在每次请求的时候作为参数传递给服务器,但这样做既麻烦又耗费资源,这时候就体现出了session的重要性。sessionweb开 发中不可或缺的一个特性。它是对于一个特定的用户请求,在web服务器上保存的一
Jsessionidcookie区别联系
weixin_30773135的博客
07-24 184
1、sessionsession是针对每一个用户的,变量的保存在服务器端,通过SessionID来区分不同的客户,session是以Cookie或URL重写为基础。默认使用Cookie来实现,系统会创造一个名为JSESSIONID的输出Cookie,或称为"Session Cookie",以区别Persistent Cookies(通常所说的Cookie).Session Cookie是存...
JSESSIONIDsessionid的区别
热门推荐
一只苟延残喘的卑微蝼蚁
05-06 1万+
要保持登陆状态,但是sessionid JSESSIONID不一致,情况一:部署到测试机上,利用本机登陆网页,sessionidjsessionid不一样。情况二:部署在本机,本机登陆页面,sessionidjsessionid一样。请问这两种情况有什么区别吗?我该使用哪个sessionid作为标识?Jsessionid只是tomcat的对sessionid的叫法,其实就是sessio...
CookieSession
渣渣想逆袭
02-24 536
一、会话的概念 会话可简单理解为:用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。 二、会话过程中要解决的一些问题 每个用户在使用浏览器服务器进行会话的过程中,不可避免各自会产生一些数据,程序要想办法为每个用户保存这些数据。 三、保存会话数据的两种技术 1、Cookie Cookie意为"甜饼",是由W3C组织提出,最早由Netsc...
Java Web学习之CookieSession的深入理解
08-27
"Java Web学习之CookieSession的深入理解" 以下是Java Web学习之CookieSession的相关知识点: 一、Cookie机制: * Cookie是保存在客户端的临时文件夹,用于保存用户状态信息。 * Cookie机制采用的是在客户端...
面试题:sessioncookie区别?客户端禁用cookie, session还能用吗?
ughbnbjkk的博客
06-16 504
数据保存在数据保存在。cookie不是很安全,别人可以分析存放在本地的COOKIE并进行,考虑安全选会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,如果主要考虑到减轻服务器性能方面,应当使用。
cookiesessionJSESSIONID
qq_44718303的博客
08-24 1946
cookiesession区别cookie存放在客户端,session存放在服务器cookie不安全因为可以通过分析存放在本地的cookie session一定时间内保存在服务器上,当访问变多,占用服务器的资源性能,为了减轻资源性能最好使用cookie 单个cookie保存数据是有限的一半不超过4k,很多浏览器都限制一个站点最多保存20个cookie,而session保存在服务器端没有数量的限制,也可以保存更复杂的类型 cookie的生命周期是积累的,而session的生命周期是间隔的 由于H
sessionCookieJSESSIONID
一只苟延残喘的卑微蝼蚁
05-09 5368
&lt;% Cookie cookie = new Cookie("userName", "zhangsan"); cookie.setMaxAge(30 * 24 * 60 * 60); //保存30天//  cookie.setDomain(".baidu.com");//    cookie.setPath("/");//  cookie.setDomain("...
JSESSIONIDSESSIONcookie
自由空间
03-28 4212
所谓session可以这样理解:当服务端进行会话时,比如说登陆成功后,服务端会为用户开壁一块内存区间,用以存放用户这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcat中对session id的叫法,在其它容器里面,不一定就是叫jsessionid了。),而这个内存区间你可以理解为se
http 请求头的Cookie中的 JSESSIONID 是什么
five-five
02-10 2737
Http协议 首先Http协议是无状态的连接方式,即客户端访问服务端,服务端是不会记录客户端访问服务端的状态的。HTTP无状态协议,是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。 客户端服务器进行动态交互的Web应用程序出现之后,HTTP无状态的特性严重阻碍了这些应用程序的实现,毕竟交互是需要承前启后的,简单的购物车程序也要知道用户到底在之前选择了什么商品。于是,两种用于保持
Cookie & Session
我的博客
04-02 1295
使用相对路径来解决, 一个非常重要的规则:页面所有的相对路径,在默认情况下,都会参考当前浏览器地址栏的路径 http://ip:port/工程名/ + 资源来进行跳转。
session cookie sessionId JSESSIONID的认识
yaoayao123的博客
01-17 445
1.sessioncookie的作用 Session,用用于标识用户,并且跟踪用户,服务器会为每一个用户创建一个sessionid用于标识用户的唯一性,在相应客户端的时候,会把这个sessionid放在cookie中,并保存在客户端,客户端以后每次请求服务器都会携带sessionid ,这样服务器就知道了,这次的请求是哪个用户发送的了 2 通常提到的sessionId JSESSIONID ...
sessionjsessionid有什么关系
weixin_34319374的博客
01-04 591
首先,并不是说你一打开一个页面就会产生一个session。 所谓session你可以这样理解:当你服务端进行会话时,比如说登陆成功后,服务端会为你开壁一块内存区间,用以存放你这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcat中对session id的叫法,在其它容器里面,不一定就是...
java无法写入cookie_java - 无法创建设置cookie以处理JSESSSIONID - 堆栈内存溢出
weixin_28077113的博客
03-02 388
我们有一个基于Java的应用程序,可以从网站下载文件必须登录才能访问网站的内容(并下载)所有这些都是使用Apache HttpClient 4.3.3作为此Java应用程序的一部分完成的不幸的是,所实现的代码始终会登录并在Web服务器上创建不需要的会话(〜10000 +)该网站登录后,将提供JSESSSIONID作为cookie的一部分。我想到的是从cookie获取此JSESSIONID并创建co...
SessionCookie有什么区别联系?
最新发布
08-05
<think>我们正在讨论SessionCookie区别联系。根据用户提供的引用,我们可以总结如下: ### 区别: 1. **存储位置**: - Cookie存储在客户端(浏览器)[^2][^4]。 - Session存储在服务器端[^1][^2]。 2. **安全性**: - Cookie由于存储在客户端,容易被篡改或窃取(如XSS攻击)[^4]。 - Session存储在服务器端,相对更安全[^1]。 3. **数据类型**: - Cookie只能存储字符串类型的数据(存储其他类型需要转换成字符串)[^1]。 - Session可以存储任意数据类型(如对象)[^1]。 4. **有效期**: - Cookie可以设置长时间保持(例如通过`Expires`属性设置过期时间)[^1][^5]。 - Session一般有效期较短(例如客户端关闭或超时就会失效)[^1][^2]。 5. **存储大小**: - 单个Cookie大小通常不超过4KB(引用[1]提到3K,引用[4]提到4KB)[^1][^4]。 - Session可存储数据远大于Cookie,但过多使用会占用服务器资源[^1]。 ### 联系: 1. **Session依赖Cookie(通常)**: - 服务器创建Session时会生成一个唯一的Session ID,并通过Cookie(名为`JSESSIONID`或类似)发送给客户端[^1][^3]。 - 客户端后续请求会自动携带此Cookie服务器通过Session ID找到对应的Session数据[^1][^3]。 2. **共同目标**: - 两者都用于跟踪用户状态,解决HTTP协议无状态的问题[^1][^2][^4]。 ### 示例说明: - **Cookie示例**:服务器设置一个名为`userid`的Cookie,客户端在后续请求中自动携带: ```csharp HttpCookie cookie = new HttpCookie("MyCook"); cookie.Expires = DateTime.Now.AddMinutes(1); // 1分钟后过期 cookie.Values.Add("userid", "value"); Response.AppendCookie(cookie); ``` 引用自[^5]。 - **Session依赖Cookie的证明**: 即使没有显式设置Cookie,使用`request.getCookies()`也会得到一个名为`JSESSIONID`的Cookie(由服务器自动创建)[^3]。 ### 总结: | 特性 | Cookie | Session | |--------------|-----------------------------|------------------------------| | 存储位置 | 客户端(浏览器) | 服务器端 | | 安全性 | 较低(易被篡改) | 较高(服务器存储) | | 数据类型 | 仅字符串 | 任意数据类型 | | 有效期 | 可长期保存(手动设置) | 短期(浏览器关闭或超时失效) | | 存储大小限制 | ≤4KB | 无硬性限制(但占用服务器资源)| | 主要联系 | Session ID 通常通过Cookie传递 | 依赖Cookie实现用户跟踪 | > ⚠️ 注意:虽然Session通常依赖Cookie传递Session ID,但也可通过URL重写(如`;jsessionid=...`)实现,但较少见。 §§相关问题§§ 1. 如何防止Session劫持? 2. Cookie有哪些安全属性(如HttpOnly, Secure)? 3. 如何在无Cookie环境下使用Session(如URL重写)? 4. Session存储的服务器端实现方式有哪些(内存、数据库等)?</think>### SessionCookie区别联系 #### 一、核心区别 1. **存储位置** - **Cookie**:存储在**客户端浏览器**中(如用户电脑)[^2][^4] - **Session**:存储在**服务器端**(如服务器内存或数据库)[^1][^2] 2. **数据类型大小** - **Cookie**: - 仅支持字符串类型数据 - 单个Cookie ≤ 4KB(实际通常≤3KB)[^1] - 示例:存储用户语言偏好 `lang=zh-CN` - **Session**: - 支持任意数据类型(对象、数组等) - 存储空间更大(受服务器资源限制)[^1] 3. **生命周期** - **Cookie**: - 可通过`Expires`属性设置长期保存(如登录保持)[^5] ```csharp // C# 设置1分钟过期的Cookie HttpCookie cookie = new HttpCookie("MyCook"); cookie.Expires = DateTime.Now.AddMinutes(1); ``` - **Session**: - 默认随浏览器关闭失效 - 服务器可设置超时时间(如30分钟无操作失效)[^1][^2] 4. **安全性** - **Cookie**: - 易被XSS攻击窃取(可通过JavaScript读取)[^4] - 需配合`HttpOnly``Secure`属性提升安全性 - **Session**: - 更安全(敏感数据不暴露在客户端) - 主要风险是Session ID被劫持[^1][^3] #### 二、核心联系 1. **协作机制** - Session依赖Cookie传递**Session ID**(通常名为`JSESSIONID`)[^1][^3] - 工作流程: ```mermaid graph LR A[用户登录] --> B[服务器创建Session] B --> C[生成Session ID] C --> D[通过Set-Cookie发送ID给浏览器] D --> E[浏览器后续请求携带Cookie] E --> F[服务器用ID查找Session数据] ``` 2. **状态管理互补** - Cookie存储轻量标识(如Session ID) - Session存储敏感/复杂数据(如登录凭证、购物车)[^1][^4] - 两者共同解决HTTP无状态问题 3. **ID传递方式** - 主要方式:Cookie自动携带Session ID(如`JSESSIONID=abc123`) - 备用方式:URL重写(当禁用Cookie时)[^3] #### 三、典型应用场景 | **场景** | **Cookie使用** | **Session使用** | |------------------|------------------------------|------------------------------| | 用户登录状态 | 存储加密的Session ID | 存储用户ID、权限角色 | | 购物车 | - | 存储商品列表、价格等对象 | | 个性化设置 | 存储语言/主题偏好(字符串) | - | | 防CSRF攻击 | 存储CSRF Token | 验证Token合法性 | > 💡 **关键结论**: > Cookie是客户端的"钥匙",Session服务器端的"保险箱",Session ID是连接两者的桥梁[^1][^3]。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值