Cookie
Cookie具有不可跨域名性。
在本地计算机保存一些用户操作的历史信息(包括登录信息),
并在用户再次访问该站点时浏览器通过HTTP协议将本地cookie内容发送给服务器,从而完成验证。
Cookie是有时间限制的,根据生命期不同分成两种:
会话Cookie:
不设置过期时间,一般不保存在硬盘上而是保存在内存里,关闭浏览器窗口,cookie就消失了。
持久Cookie:
设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。
Cookie实际上是一小段的文本信息:
客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。
客户端浏览器会把Cookie保存起来。
当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。
服务器检查该Cookie,以此来辨认用户状态。
Cookie cookie = new Cookie("username","aaa"); // 新建Cookie
cookie.setMaxAge(10); //设置生命周期,单位为秒(Second)
response.addCookie(cookie); //输出到客户端
HTTP协议不仅是无状态的,而且是不安全的。使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能:
设置Cookie的secure属性为true。浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。
cookie.setSecure(true); // 设置安全属性
Cookie有大小限制以及浏览器在存cookie的个数也有限制
Session
在服务器上保存用户操作的历史信息,通过服务器来保持状态。
Cookie在关闭浏览器窗口后就会消失,但是原来服务器的Session还在,只有等到了销毁的时间会自动销毁
服务器一般把Session放在内存里,针对一个web项目,每个用户都会有一个独立的Session(Tomcat中Session的默认失效时间为30分钟):
Session在用户第一次访问服务器的时候自动创建。
需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。
如果尚未生成Session,也可以使用request.getSession(true)强制生成Session。
Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。
HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,需要依赖Cookie:
浏览器第一次访问服务器时,服务器会向浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。
Session依据该Cookie来识别是否为同一用户。
同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session:
因为Cookie仅当前浏览器内有效,并且各浏览器窗口间不共享。
但是由浏览器窗口内的链接、脚本等打开的新窗口除外。
这类子窗口会共享父窗口的Cookie,因此会共享一个Session。