对Cookie和Session的理解

　　相信很多搞BS开发的小伙伴，多多少少都会了解到 Cookie 和 Session 这两个对象，我们用到最多的地方，就要属登陆了，登陆之后，把用户信息 User 存放在Session里面，然后只要浏览器不关闭或手动退出，就可以直接保持登陆状态，随时获取的保存在Session里面的用户信息。

　　我们知道浏览器请求是基于 Http协议的请求，它是无连接，无状态的，客户端请求一次，服务器就反馈一次，而且这一次请求和下一次请求 没有任何的关系，也就是说，服务器完全不知道连续的两次请求都是你发送的。

　　Cookie是保存在客户端的，而Session是保存在服务器的，这是我们都知道的一个最基本的常识。那我们先认识一下Cookie。

直接上代码

        public string SetCookie()
        {

            HttpCookie myCookie = new HttpCookie("myCustomCookie", "abc");
            myCookie.Expires = DateTime.Now.AddMinutes(1);
            Response.Cookies.Add(myCookie);

            return "Cookie 设置成功";
        }

Expires（过期时间）属性很重要，如果不设置，Cookie 会保存在浏览器内存中，关闭浏览器之后cookie就会被释放。如果过期时间大于当前时间，cookie就会保存在客户端的硬盘上面，而且在过期时间之前，每次请求都会带上该Cookie。如果过期时间小于或等于当前时间，就相当于删除该cookie。

　　那么Session实现的原理是什么呐，我们写了一个方法来测试一下，

        public string SetSession()
        {
            Session["loginUser"] = "mxj";
            HttpContext.Session["loginPwd"] = "123";
            HttpContext.Session.Timeout = 1;


            return "Session 设置成功";
        }

　　我们访问这个方法，给Session设置了值，然后我们发现每次请求的时候，都会带一个ASP.NET_SessionId的Cookie。

其实Session功能就是基于这个ASP.NET_SessionId的Cookie来实现实，当我们用 Session["loginUser"] = "mxj"; 设置一个Session值的时候，我们可以理解为一个Key,Value 的字典容器，Key就是当前ASP.NET_SessionId的Cookie值 ，Value就是这个类型为System.Web.HttpSessionStateWrapper的Session对象，我们对Session的操作其实就是对这个类型为HttpSessionStateWrapper的一个实例来进行操作。所以，我们可以简单的理解为Session其实就是保存在服务内存里的以ASP.NET_SessionId为Key的字典的值的一个对象。

　　按照上面的理解，如果我们设置了Session的值，然后再把ASP.NET_SessionId的cookie清除掉，我们就访问不到Session的值，我们来验证一下，代码如下

    public string SetSession()
        {
            Session["loginUser"] = "mxj";
            HttpContext.Session["loginPwd"] = "123";
            HttpContext.Session.Timeout = 1;


            return "Session 设置成功";
        }

        public string GetSession()
        {
            StringBuilder sb = new StringBuilder();

            HttpSessionStateBase sessionStateBase = HttpContext.Session;
            for (int i = 0; i < sessionStateBase.Count; i++)
            {
                sb.Append(sessionStateBase.Keys[i] + "：" + sessionStateBase[i] + "<br/>");
            }  

            return sb.ToString();            
        }

        public string ClearCookie()
        {
            HttpCookieCollection newCollection = new HttpCookieCollection();
            HttpCookieCollection cookieCollection = Request.Cookies;
            for (int i = 0; i < cookieCollection.Count; i++)
            {
                cookieCollection[i].Expires = DateTime.Now.AddMinutes(-1);
                newCollection.Add(cookieCollection[i]);

                //Response.SetCookie(cookieCollection[i]);
            }

            for (int j = 0; j < newCollection.Count; j++)
            {
                Response.Cookies.Add(newCollection[j]);
            }

            return "Cookie Clear成功";
        }

我们先执行方法SetSession，然后再执行方法GetSession，我们会得到Session的值

执行此方法时，我们一定要把发送此请求所用的cookie记录下来，后面用爬虫模拟请求的时候会用到

然后我们执行方法ClearCookie清除所有cookie，然后再执行方法GetSession去获取Session，没有任何的结果，（一片空白，无结果，就不截图了）。

那么服务器内存里对应这个ASP.NET_SessionId的key的value值是继续存在呐，还是被移除掉了呐？

我们写了一个简单的爬虫来验证结果，代码如下

        private void btnCatch_Click(object sender, EventArgs e)
        {
            var url = tbxUrl.Text;
            url = url.Trim();

            var cookie = tbxCookie.Text;

            var result = HttpHelper.DownloadUrl(url, cookie);

            tbxResult.Text = result;
        }



 public class HttpHelper
    {
        //private static Logger logger = new Logger(typeof(HttpHelper));

        /// <summary>
        /// 根据url下载内容  之前是GB2312
        /// </summary>
        /// <param name="url"></param>
        /// <returns></returns>
        public static string DownloadUrl(string url, string cookie = null)
        {
            return DownloadHtml(url, Encoding.UTF8, cookie);
        }

        //HttpClient--WebApi

        /// <summary>
        /// 下载html
        /// http://tool.sufeinet.com/HttpHelper.aspx
        /// HttpWebRequest功能比较丰富，WebClient使用比较简单
        /// </summary>
        /// <param name="url"></param>
        /// <returns></returns>
        public static string DownloadHtml(string url, Encoding encode, string cookie)
        {
            string html = string.Empty;
            try
            {
                //https可以下载--

                //ServicePointManager.ServerCertificateValidationCallback = new RemoteCertificateValidationCallback((object sender, X509Certificate certificate, X509Chain chain, SslPolicyErrors errors) =>
                //{
                //    return true; //总是接受  
                //});
                //ServicePointManager.SecurityProtocol = SecurityProtocolType.Ssl3 | SecurityProtocolType.Tls12 | SecurityProtocolType.Tls11 | SecurityProtocolType.Tls;

                HttpWebRequest request = HttpWebRequest.Create(url) as HttpWebRequest;//模拟请求
                request.Timeout = 30 * 1000;//设置30s的超时
                //request.UserAgent = "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36";
                //request.UserAgent = "User - Agent:Mozilla / 5.0(iPhone; CPU iPhone OS 7_1_2 like Mac OS X) App leWebKit/ 537.51.2(KHTML, like Gecko) Version / 7.0 Mobile / 11D257 Safari / 9537.53";

                request.ContentType = "text/html; charset=utf-8";// "text/html;charset=gbk";// 
                                                                 //request.Host = "search.yhd.com";

                request.Headers.Add("Cookie", cookie);

                //request.Headers.Add("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8");
                //request.Headers.Add("Accept-Encoding", "gzip, deflate, sdch");
                //request.Headers.Add("Referer", "http://list.yhd.com/c0-0/b/a-s1-v0-p1-price-d0-f0-m1-rt0-pid-mid0-kiphone/");

                //Encoding enc = Encoding.GetEncoding("GB2312"); // 如果是乱码就改成 utf-8 / GB2312

                //如何自动读取cookie
                //request.CookieContainer = new CookieContainer();//1 给请求准备个container
                using (HttpWebResponse response = request.GetResponse() as HttpWebResponse)//发起请求
                {
                    if (response.StatusCode != HttpStatusCode.OK)
                    {
                        //logger.Warn(string.Format("抓取{0}地址返回失败,response.StatusCode为{1}", url, response.StatusCode));
                    }
                    else
                    {
                        try
                        {
                            //string sessionValue = response.Cookies["ASP.NET_SessionId"].Value;//2 读取cookie
                            StreamReader sr = new StreamReader(response.GetResponseStream(), encode);
                            html = sr.ReadToEnd();//读取数据
                            sr.Close();
                        }
                        catch (Exception ex)
                        {
                            //logger.Error(string.Format($"DownloadHtml抓取{url}失败"), ex);
                            html = null;
                        }
                    }
                }
            }
            catch (System.Net.WebException ex)
            {
                if (ex.Message.Equals("远程服务器返回错误: (306)。"))
                {
                    //logger.Error("远程服务器返回错误: (306)。", ex);
                    html = null;
                }
            }
            catch (Exception ex)
            {
                //logger.Error(string.Format("DownloadHtml抓取{0}出现异常", url), ex);
                html = null;
            }
            return html;
        }
    }

这是一个winform的程序，抓取结果如下

在服务器还没有释放Session值之前，我们还是可以通过ASP.NET_SessionId的Cookie获取到对应的Session值。

　　那么Session在服务器内存会保存多久呐，

我们会有一个Timeout的属性来设置它的过期时间（分钟为单位），如果没有设置，就默认配置文件为准，IIS的默认Session释放时间好像是20分钟。

以上是本人自己摸索所得，有什么不正确的地方，欢迎提出意见。