cookie & session

1. 会话：

       会话可简单理解为：用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。
　　有状态会话：一个同学来过教室，下次再来教室，我们会知道这个同学曾经来过，这称之为有状态会话。

2. 什么时候用：

     每个用户在使用浏览器与服务器进行会话的过程中，不可避免各自会产生一些数据，程序要想办法为每个用户保存这些数据，这个时候可以使用会话。

1. 保存上次登录时间
2. 显示用户浏览历史记录（没有登录就可以显示）
3. 保存用户登录帐号和密码，保存到此电脑，下次登录

3. 有什么会话技术：

1. cookie

      服务器在客户端保存用户的信息，比如登录名，密码等…就是cookie 由服务器创建，保存在浏览器端

这些信息数据量并不大，服务器端在需要的时候可以从客户端读取，保存在客户端（本地哦）的浏览器缓存目录下，

Cookie可由多个浏览器共用

常用于：

1. 保存上次登录时间等信息
2. 保存用户名、密码，在一定时间内不用重新登录
3. 记录用户访问网站的喜好（有无背景音乐、网页的背景色等等）
4. 网站的个性化，比如定制网站的服务，内容等

2.session：

     在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

Cookie和Session比较

1.  Cookie存放于客户端的临时文件夹

           session存在于服务器的内存中，每个session域对象为一个用户 浏览器服务

2. 安全性：

           Cookie以明文方式存放在客户端，安全性弱 ，可通过加密

           Session存放于服务器的内存中，安全性高

3. 网络传输量

              Cookie会传递信息给服务器，需占些许带宽

             Session不会传递信息

4. 生命周期

           Cookie生命周期是累计的，从创建时开始计算，**min时失效，cookie就无效

           Session的生命周期是间隔的，从创建开始至**min内没有访问则失效，有访问则从新计算生命周期

   Session失效方式

•  关闭Tomcat
• Reload web应用
• 时间到
• Invalidate （常见的安全退出，清楚session）

      使用原则：

      Session会占用服务器的内存，因此不要向session存放过多，过大对象，会影响性能

4. Cookie使用

package servlettest;

import java.io.IOException;
import java.io.PrintWriter;
import java.util.Date;

import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class CookieDemo extends HttpServlet {

	private static final long serialVersionUID = 1L;

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		//设置浏览器以UTF-8编码进行接收,解决中文乱码问题
		response.setContentType("text/html;charset=UTF-8");
		//设置服务器端以UTF-8编码进行输出
		response.setCharacterEncoding("UTF-8");
		PrintWriter out = response.getWriter();
		//设置服务器端以UTF-8编码进行输出
		Cookie[] cookies = request.getCookies();
		if(cookies!=null){
			out.write("您上次访问时间为:");
			for(int i=0;i<cookies.length;i++){
				Cookie cookie = cookies[i];
				if(cookie.getName().equals("lastTimeVisited")){
					long time = Long.parseLong(cookie.getValue());
					Date date = new Date(time);
					out.write(date.toString());
				}
			}
		}else{
			out.write("欢迎首次登录");
		}

		//存储登录时间
		Cookie c = new Cookie("lastTimeVisited",System.currentTimeMillis()+"");
		//将cookie对象添加到response对象中，这样服务器在输出response对象中的内容时就会把cookie也输出到客户端浏览器
		response.addCookie(c);
	}

	public void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		this.doGet(request, response);
	}

}

使用Cookie记录上次访问时间

public void setMaxAge(int expiry)

      设置Cookie的最大保存时间，即cookie的有效期，当服务器给浏览器回送一个cookie时，如果在服务器端没有调用setMaxAge方法设置cookie的有效期，那么cookie的有效期只在一次会话过程中有效，用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一次会话，当用户关闭浏览器，会话就结束了，此时cookie就会失效，如果在服务器端使用setMaxAge方法设置了cookie的有效期，比如设置了30分钟，那么当服务器把cookie发送给浏览器时，此时cookie就会在客户端的硬盘上存储30分钟，在30分钟内，即使浏览器关了，cookie依然存在，在30分钟内，打开浏览器访问服务器时，浏览器都会把cookie一起带上，这样就可以在服务器端获取到客户端浏览器传递过来的cookie里面的信息了，这就是cookie设置maxAge和不设置maxAge的区别，不设置maxAge，那么cookie就只在一次会话中有效，一旦用户关闭了浏览器，那么cookie就没有了，那么浏览器是怎么做到这一点的呢，我们启动一个浏览器，就相当于启动一个应用程序，而服务器回送的cookie首先是存在浏览器的缓存中的，当浏览器关闭时，浏览器的缓存自然就没有了，所以存储在缓存中的cookie自然就被清掉了，而如果设置了cookie的有效期，那么浏览器在关闭时，就会把缓存中的cookie写到硬盘上存储起来，这样cookie就能够一直存在了。

注意：

1. 一个Cookie只能标识一种信息，它至少含有一个标识该信息的名称（NAME）和设置值（VALUE）。
2. 一个WEB站点可以给一个WEB浏览器发送多个Cookie，一个WEB浏览器也可以存储多个WEB站点提供的Cookie。
3. 浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB。
4. 如果创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie（即存储在浏览器的内存中），用户退出浏览器之后即被删除。若希望浏览器将该cookie存储在磁盘上，则需要使用maxAge，并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。

存取中文：

5.服务器怎么实现Session为一个用户浏览器服务

      服务器创建session出来后，会把session的id号，以cookie的形式回写给客户机，这样，只要客户机的浏览器不关，再去访问服务器时，都会带着session的id号去，服务器发现客户机浏览器带session id过来了，就会使用内存中与之对应的session为之服务。

6. cookie禁用了之后怎么使用Session

URL重写：重写后浏览器的url地址上会自动加上sessionid

    response.encodeRedirectURL(java.lang.String url) 用于对sendRedirect方法后的url地址进行重写。
　　response.encodeURL(java.lang.String url)用于对表单action和超链接的url地址进行重写

       所以，当浏览器禁用了cookie后，就可以用URL重写这种解决方案解决Session数据共享问题。而且response. encodeRedirectURL(java.lang.String url) 和response. encodeURL(java.lang.String url)是两个非常智能的方法，当检测到浏览器没有禁用cookie时，那么就不进行URL重写了。

       在程序中第一次调用request.getSession()方法时就会创建一个新的Session，可以用isNew()方法来判断Session是不是新创建的

session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间

当需要在程序中手动设置Session失效时，可以手工调用session.invalidate方法，摧毁session。

更多信息例子参考链接：http://www.cnblogs.com/xdp-gacl/p/3855702.html