session，sessionid，cookie之间的关系解析

文章目录

session，sessionid，cookie之间的关系解析
- 1.简介
- 2.session和cookie定义，创建，周期和联系
- - 2.1cookie
  - 2.2session
- 3.如果禁用cookie后，如何解决账号身份识别？
- 4.session和cookie的关系

1.简介

网上有很多关于他们的文章，我这里以我自己的理解来写这篇文章。

session，cookie这个关系弄明白了，对你开发后端收益匪浅。

下面我将以解释他们是什么，彼此之间有什么联系，生命周期，如何使用等方面进行描述。

2.session和cookie定义，创建，周期和联系

2.1cookie

Cookie定义：有时也用其复数形式 Cookies，指某些网站为了辨别用户身份、进行 session 跟踪而储存在用户浏览器上的数据。浏览器为了保存用户状态的对象，该对象是服务器创建，存于浏览器。

cookie的内容：主要包括：名字，值，过期时间，路径和域。

cookie在浏览器的工作机制：cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。当客户端第一次（首次）请求服务器的时候不会携带Cookie，因为这个cookie由服务器端生成，首次还没有他。

cookie的生命周期：

cookie的创建：Cookie是由服务器端生成，发送给User-Agent（一般是浏览器），浏览器会将Cookie的key/value保存到某个目录下的文本文件内，下次请求同一网站时就发送该Cookie给服务器（前提是浏览器设置为启用cookie），在服务器创建cookie对象后，响应给浏览器，在响应头中的set-cookie字段中存放该cookie发给浏览器，浏览器接收后会将set-cookie中的内容放到浏览器的cookie缓存容器中。
cookie的过期时间：如果不设置过期时间，则表示这个cookie生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。如果设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的cookie，不同的浏览器有不同的处理方式。cookie.setmaxage设置为0时，会马上在浏览器上删除指定的cookie；cookie.setmaxage设置为-1时，代表关闭当前浏览器即失效。

自己对cookie的理解：cookie就是一个数据，这个数据中通常有sessionid字段信息，举例：SESSIONID=asdfghjkl，也就是cookie中数据是key=value这种格式，cookie中除了存储有sessionid，还有其他的一些信息；cookie不止一个，我用同一个浏览器访问百度打开一个网页窗口，访问谷歌打开一个网页窗口，通过f12查看cookie可以发现各自的网页的cookie是独立的，他们的内容不一样；我的理解是一个浏览器窗口有一个独立的cookie存放容器，该容器中的key就是当前访问服务器的url，value就是cookie对象集合（下图的红框部分），在这个cookie对象集合中可以看到很多条数据内容（每一条数据就是一个cookie对象，他们有自己的生命周期和作用范围），我们浏览器每次给服务器发送请求时，会加载cookie中的信息，并判断那些属性是作用在该请求范围中的，筛选出来符合条件的属性数据，并和请求一起发送给服务器。

在这里插入图片描述

为了进一步说明为什么上图红框中是一个cookie对象集合，可以在服务器端controller层写一个创建cookie对象的接口代码如下：

//创建了一个cookie,名字是"name" 值是"Gareen"Cookie c = new Cookie("name", "Gareen");//表示这个cookie可以保留一天，如果是0，表示浏览器一关闭就销毁c.setMaxAge(24 * 60 * 60);//Path表示服务器的主机名，只有浏览器通过这个主机名访问服务器的时候，才会提交这个cookie到服务端c.setPath("127.0.0.1");//将自己创建的cookie对象相应给浏览器，把该对象放到响应头中的set-cookie字段内容中然后发回给客户端，客户端会把set-cookie字段中内容放到浏览器的cookie缓存容器中，当下一次浏览器请求，就会在请求头中的cookie字段中加上这个cookie对象，后端再通过解析请求头拿到他response.addCookie(c);

在这里插入图片描述

通过上图可以发现我们创建的cookie对象在浏览器中成了一条数据，印证了我上边说的这是一个cookie对象集合，并且每个cookie对象都有属于自己的生命周期和作用范围

服务器接受到请求后，会默认去请求头中找cookie字段的属性，并将其内容解析，大概的思路如下：

服务器端获取所有浏览器传递过来的cookie，因为可能是cookie对象集合，使用集合接收

Cookie[] cookies = request.getCookies();

如果浏览器端没有任何cookie，得到的Cookie数组是null

if (null != cookies )

遍历所有的cookie

for (int d = 0; d <= cookies.length - 1; d++) {
out.print(cookies[d].getName() + “:” + cookies[d].getValue() + “
”);
}

在这里插入图片描述

2.2session

session的定义：服务器为了保存用户状态而创建的一个特殊的对象。session是存于服务器，cookie是存于浏览器

session的主要内容：Attribute对象（这个是我们自己将数据存入session的地方，比如想将当前账户信息存入session，就可以存入这里），Id，这个id就是sessionid，是服务器在创建session对象时生成的id，使用了散列表结构，所以生成的sessionid是唯一的，我们就是利用sessionid唯一这个依据来确认每次请求的账户信息。

在这里插入图片描述

session在服务器的工作机制：当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识------------称为session id，如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。

sessionId在浏览器作用范围：新开的浏览器窗口会生成新的Session，但子窗口除外。子窗口会共用父窗口的Session。例如，在链接上右击，在弹出的快捷菜单中选择"在新窗口中打开"时，子窗口便可以访问父窗口的Session。

session的生命周期：

session创建：Sessinon在用户访问第一次访问服务器时创建，需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session，可调用request.getSession(true)强制生成Session。
session的过期时间：服务器会把长时间没有活动的Session从服务器内存中清除，此时Session便失效。Tomcat中Session的默认失效时间为30分钟。也可调用Session的invalidate方法让其强制失效。

3.如果禁用cookie后，如何解决账号身份识别？

保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。
经常被使用的一种技术叫做URL重写，就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器会自动修改表单，添加一个隐藏字段，以便在表单提交时能够把session id传递回服务器。还可以使用token技术，摆脱依赖sessionid去验证，直接使用token作为验证机制