cookie和session 有什么区别

汪星人

状态管理
        1)什么是状态管理
                将客户端(一般是浏览器)与服务器之间的多次
        交互当作一个整体来看待，即将多次操作所涉及的
$ q; w. Z  z) N) ?        数据记录下来。
! Z4 s% x# h% b& C2 V- P- f        2)怎样进行状态管理
                第一种方式，在客户端管理用户的状态
' w$ S) o8 m0 a: j3 @. {                (cookie)。
                第二种方式，在服务器端管理用户的状态
" c. e1 H: S" ?2 p  l                (session)。
9 t0 Q3 s! @# R6 ^        3)cookie
: R9 d2 y& o% W( ?                a,什么是cookie?
                        浏览器在访问服务器时，服务器将一些数据
                以set-cookie消息头的形式发送给浏览器。浏览
) ~* ~1 y0 [( @                器会将这些数据保存起来。当浏览器再次访问
# `$ f$ \6 ]) i5 U. f% e/ a7 f                服务器时，会将这些数据以cookie消息头的形式
                发送给服务器。通过这种方式，可以管理用户的
; h) i8 A3 n( P3 ]2 f7 x                状态。
; D& c5 {- r$ m, R8 W                b,怎样创建cookie?
                        Cookie cookie = new Cookie(String name,
8 B- F( a6 X+ |' I* X. e                        String value);
                        response.addCookie(cookie);
$ b( r( Z( R# r2 E0 ~' V                c,查询cookie
                        //如果没有cookie，则返回null。
. D9 }4 E) K2 S; P& S                        Cookie[] cookies = request.getCookies();
                        String name = cookie.getName();
                        String value = cookie.getValue();
  G: `2 n- h9 O) [                d,cookie保存时的编码问题
  t! z% E. J/ r. Q$ X0 ~1 |9 B+ R# f6 ?                        cookie的值只能是ascii字符，如果是中文，
& J. l# y; T- Q& a# m" P/ C: T                        需要将中文转换成ascii字符形式。
( j. C8 u/ `8 A% z% y# e                        可以使用URLEncoder.encode()方法和
7 x+ {# v8 z5 c( M0 z                        URLDecoder.decode()方法来进行这种转换。
8 b# R! q1 \) `% b1 y, @6 ]& |, v; j                e,cookie的保存时间
                        cookie.setMaxAge(int seconds);
                        seconds > 0:浏览器会将cookie以文件的方式
; T3 M( [/ j0 v: `! P1 l                        保存在硬盘上。在超过指定的时间以后，会删除
                        该文件。
                        seconds < 0:默认值，浏览器会将cookie保存
. b. J1 P6 a' I- A6 z                        在内存里面。只有当浏览器关闭之后，才会删除。
                        seconds = 0:删除。
& I& ~" e8 }$ H/ g* B* g                f,删除cookie
                        比如要删除一个name为"username"的cookie。
                        Cookie c = new Cookie("username","");
                        c.setMaxAge(0);
                        response.addCookie(c);
                g,cookie的路径问题
0 ~1 V  l* Z) b1 V" l4 K" @                        浏览器在向服务器上的某个地址发送请求时，
) ~  T0 Z- E2 |5 j( ?/ f" F! t                会先比较cookie的路径与向访问的路径(地址)是
  E1 |3 {6 J' x* t                否匹配。只有匹配的cookie，才会发送。
: B6 F% |" z2 A! ^2 @                        cookie的路径可以通过
* b( _+ F  F8 `4 d3 `3 R                        cookie.setPath(String path)方法来设置。
0 X$ }9 _$ j% s0 m: M5 q0 |                        如果没有设置,则有一个缺省的路径，缺省的
  M% m4 J7 B* p; c                        路径是生成该cookie的组件的路径。
                                比如: /appname/addCookie保存了一个cookie,
+ S2 a1 E! L3 ]  o; t3 ]                        则该cookie的路径就是/appname/addCookie。
2 g% B  e9 K" B2 X0 Z: ?                       
                        规则:
1 [4 J. Q" E7 B6 O0 [$ R# m                                cookie的路径必须是要访问的路径的上层目录
                                或者是与要访问的路径相等，浏览器才会
                                将cookie发送给服务器。
                               
* W7 c4 u( o4 F& `. d" T                                一般可以设置setPath("/appname"),表示访问
                                该应用下的所有地址，均会发送cookie。
6 p. X* l, G0 Q                h,cookie的限制
  @5 Y( _0 U( T' H# a                        cookie可以禁止
                        cookie的大小有限制(4k左右)
4 a2 ~% l& r" P5 i$ v; @0 k* |" B2 X                        cookie的数量也有限制(浏览器大约能保存300个)       
                        cookie的值只能是字符串，要考虑编码问题。
& {  t% s4 O' V                        cookie不安全
        练习：
                写一个Add_FindCookieServlet,该servlet先查询
        有没有一个名叫name的cookie，如果有，则显示
' _8 X6 f' U9 T6 A" t; K0 {        该cookie的值，如果没有，则创建该cookie(
        cookie的名字:name,cookie的值:zs)。
$ S/ ?: d; |2 U, w0 x  T' I               
               
        4)session       
% _  P. z5 ]9 b                a,什么是session?
! o% ~' J. v$ z& E5 v                浏览器访问服务器时，服务器会创建一个session
                对象(该对象有一个唯一的id, 一般称为sessionId)
                。服务器在缺省情况下，会将sessionId以cookie
" S) D, N  P( h. N+ m. C  u6 ?7 z                机制发送给浏览器。当浏览器再次访问服务器时，
, T% S  b  Z9 G% ^% d2 W                会将sessionId发送给服务器。服务器依据sessionId
                就可以找到对应的session对象。通过这种方式，
                就可以管理用户的状态。
                b,如何获得session对象
                        方式一:
: V  z' m0 E# `7 N5 ?2 I                                HttpSession session =
                                request.getSession(boolean flag);
                                当flag = true:
                                        服务器会先查看请求中是否包含sessionId,
                                        如果没有，则创建一个session对象。
% p$ W, Q6 ]& [5 U6 X# x6 C8 k                                        如果有，则依据sessionId去查找对应的
# h2 g; L1 t, m# Q  D: v; _                                        session对象，如果找到，则返回。
0 b* F6 Q% _$ m; r                                        如果找不到，则创建一个新的session对象。
/ O$ T/ \5 ^8 Z& `8 T+ g                                当flag = false:
                                        服务器会先查看请求中是否包含sessionId,
                                        如果没有,返回null。
                                        如果有，则依据sessionId去查找对应的
6 ]9 y8 [" d. B  u                                        session对象，如果找到，则返回。
7 h- M" d( ]; X* H" v+ K3 }6 o; m                                        如果找不到，返回null。
                        方式二:
                                HttpSession session =
  @. v# W& y  L                                request.getSession();
# u5 @# C! [2 O4 Z                                与request.getSession(true)等价。
                c,HttpSession接口提供的一些方法
                                //获得sessionId。
/ k. J3 C- x! c$ G7 ]4 z6 X                                String session.getId();
- u% b" X4 }1 M$ ?7 K+ e; i; ^                                //绑订数据
8 t9 Y+ d+ c5 u, G& ?' I3 u. q5 d                                session.setAttribute(
! a7 ?  q  T) e9 p5 ~0 I                                String name,Object obj);
; d& w' W: w2 ~$ ?0 M, E( w                                //obj最好实现Serializable接口(服务器
                                在对session进行持久化操作时，比如钝化
7 `8 T5 C/ t: w9 w" F                                、激活，会使用序列化协议)。
                                Object session.getAttribute(String name);
+ q+ k" T; |; i/ R                                //如果name对应的值不存在，返回null。
                                session.removeAttribute(String name);
+ r& N( u2 t6 X1 [% X: m+ o                d,session超时
                                服务器会将超过指定时间的session对象
                        删除(在指定的时间内，该session对象没有
                        使用)。
                                方式一：
                                        session.setMaxInactiveInterval(
$ A. f( H9 c2 i; w- ]) j                                int seconds);
- E+ h8 @1 }3 M* }5 o- V                                方式二：
9 ]' u- c( N9 s/ k                                        服务器有一个缺省的超时限制，可以
$ L' R8 I7 C, ?, K                                通过相应的配置文件来重新设置。
                                        比如可以修改tomcat的web.xml(
                                        tomcat_home/conf下面)。
' P* m1 M/ V9 F# [                                        <session-config>
                        <session-timeout>30</session-timeout>
2 _, L* X5 A( d                            </session-config>
                                另外，也可以只修改某个应用的web.xml。
                e,删除session
                        session.invalidate();
/ d% D* Q5 D7 O* U$ ^, b) N                       
        案例:
                session验证
                step1 在登录成功之后，在session上绑订一些数据。
3 L* r/ B6 s# A        比如:
                session.setAttribute("user",user);
                step2 在访问需要保护的页面或者资源时，执行
                Object obj = session.getAttribute("user")；
7 s1 h, H" g9 B! _                如果obj为null,说明没有登录，一般重定向到
                登录页面。