简述

cookie和session是开发中常用的记录状态的机制。

相同点：

• 他们两个都可以用来存私密的东西，同样也都有有效期的说法。
• cookie和session都是用来跟踪浏览器用户身份的会话方式。

不同点：

• cookie数据保存在客户端，session数据保存在服务器端。
• session是放在服务器上的，过期与否取决于服务器的设定，cookie是存在客户端的，过期与否在cookie生成的时候设置进去，也可以自己清理掉。
• 从服务器角度来看，cookie不能跨浏览器查询，session可以跨浏览器查询（sessionid传值）

运用：

• cookie是不很安全的，别人可以分析存放在本地的COOKIE并进行COOKIE欺骗，如果主要考虑到安全应当使用session

• session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，如果主要考虑到减轻服务器性能方面，应当使用COOKIE ；

• 所以我们可以将登陆信息等重要信息存放为seesion;其他信息如果需要保留可以放在cookie中。

cookie是什么：

• cookie是一种发送到客户浏览器的文本串句柄，并保存在客户机硬盘上，可以用来在某个WEB站点会话间持久的保持数据。

session是什么

• Session其实是利用Cookie进行信息处理的，当用户首先进行了请求后，服务端就在用户浏览器上创建了一个Cookie，当这个Session结束时，其实就是意味着这个Cookie就过期了。

cookie

如何创建cookie

添加cookie

@WebServlet("/addCookie")
public class AddCookieServlet extends HttpServlet {
    
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    
        Cookie cookie = new Cookie("name", "likeghee");
        resp.addCookie(cookie);
        resp.setContentType("text/html;charset=utf-8");
        resp.getWriter().write("添加cookie成功");
    }
}

调用一下接口

F12查看响应头能看到Set-Cookie

如何获取cookie

@WebServlet("/getCookie")
public class GetCookieServlet extends HttpServlet {
    
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    
        Cookie[] cookies = req.getCookies();
        for (Cookie cookie : cookies) {
    
            resp.setContentType("text/html;charset=utf-8");
            resp.getWriter().write(cookie.getName() + "--" +
                    cookie.getValue() + "|||||");
        }
    }
}

调用getCookie接口

F12查看network，我们可以看见客户端又通过请求头将cookie传给服务器端，所以为什么服务器可以通过req.getCookies();获取到浏览器的cookie

谷歌浏览器可以点击感叹号查看本地的cookie有哪些

cookie原理

创建cookie流程：

1. 客户端调用addCookie接口
2. 服务端使用响应头将cookie信息返回给客户端
3. 客户端获取服务器创建cookie信息保存到本地

获取cookie流程：

1. 客户端调用getCookie接口
2. 客户端使用请求头将cookie信息发送给服务端
3. 服务器就可以通过req.getCookies();获取cookie信息

每次请求浏览器将cookie放入请求头，服务器从请求头获取cookie信息

session

如何创建session

@WebServlet("/addSession")
public class AddSessionServlet extends HttpServlet {
    
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    
        // 默认为true，获取session,如果session不存在，就新建一个
        // 获取session,如果session不存在，则返回null
        HttpSession session = req.getSession(true);
        session.setAttribute("name", "likeghee");
        resp.setContentType("text/html;charset=utf-8");
        resp.getWriter().write("添加session成功");
    }
}

调用接口后，我们去看cookie

当前网站的cookie中多了一个JSessionId

如何获取session

@WebServlet("/getSession")
public class GetSessionServlet extends HttpServlet {
    
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    
        // 默认为true，获取session,如果session不存在，就新建一个
        // 获取session,如果session不存在，则返回null
        HttpSession session = req.getSession(false);
        String name = (String) session.getAttribute("name");
        resp.setContentType("text/html;charset=utf-8");
        resp.getWriter().write(name);

    }
}

F12查看请求头，客户端将sessionID传给了服务端

session原理

添加session：

1. 客户端调用add接口，服务器调用req.getSession(true);服务器创建session
2. 服务器通过响应头将sessionId返回给客户端

获取session：

1. 客户端将本地的sessionId放入到请求头调用get接口
2. 服务器调用req.getSession(false);服务器使用请求头中的sessionId去找到对应的值

边角料

我们可以看到sessionId的到期时间是浏览器关闭时，所以浏览器关闭，客户端再去调用get接口，服务器将无法从请求头中获取sessionId，也就无法获取到值。

同样的换一个浏览器也是查不到结果的，因为session的使用，用的是cookie的原理

为什么添加时getSession(true)，而获取时getSession(false)？

如果我们将获取时的false改为true，客户端调用get接口，如果请求头没有sessionId，那服务器会创建session，这不是我们希望的，创建session应该是在add接口时使用

如果浏览器禁用了cookie，如何使用session呢？

sessionId就不通过cookie传递，使用缓存文件，我们自己用GET/POST表单将sessionId在服务器与客户端之间传递

session的值是存放在jvm中的，所以重启服务器，session值将会被销毁，一般做法是将值缓存到redis当中

集群session共享问题？

如何解决发布版本失效问题？