你真的了解 Session 和 Cookie 吗？

我是陈皮，一个在互联网 Coding 的 ITer，微信搜索「陈皮的JavaLib」第一时间阅读最新文章，回复【资料】，即可获得我精心整理的技术资料，电子书籍，一线大厂面试资料和优秀简历模板。

前言

我们知道，HTTP 是无状态的协议，服务端并不知道哪个请求是哪个用户发起的。有些场景我们需要知道请求是哪个用户发起的，哪个用户操作的。例如商城服务，用户发起请求下单，服务端需要识别是哪个具体的用户。所以服务端需要使用某种机制来识别，记录用户的信息，状态等。

Session 机制就能实现，它可以让无状态协议的 HTTP 有状态化。服务端为每个请求服务端的用户创建其独享的 Session，用于标识，跟踪此用户。Session 是存储在服务端的，可以存储在文件，内存，数据等等，并且有唯一的标识 Session ID。服务端创建 Session 之后，服务端通过 HTTP 协议告诉客户端，在本地 Cookie 中记录这个 Session ID。这样同个客户端以后的每一个请求将 Cookie 一起发送给服务端，服务端通过存储在 Cookie 的 Session ID 查出存储在服务端的 Session ，就能知道此次请求的是哪个用户了。

Session

Session 中文意思即会话，时效。其实就是客户端和服务端一对一交互的会话状态，是一种抽象概念。很多人认为 Session 就是以下代码获取的 Session 对象，其实这只是其中的借助 Cookie 的一种通用性较好的实现而已。Session 有很多种实现的。

HttpSession session = request.getSession();

因为大部分应用程序借助 Cookie 来实现 Session 跟踪，即上述那一行代码。Cookie 是实际存在的。客户端请求服务端并且第一次创建 Session 的时候，服务端通过 HTTP 协议（HTTP响应头的 Set-Cookie）告诉客户端，需要在本地 Cookie 中记录这个 Session ID。key 的值为 JSESSIONID。

这样同个客户端以后的每一个请求会将 Cookie 一起发送给服务端，服务端通过存储在 Cookie 的 Session ID 查出存储在服务端的 Session ，就能知道此次请求的是哪个用户了。

HttpSession session = request.getSession();

不过客户端浏览器是可以禁用 Cookie 的，那这种方式就会出现问题。但是我们可以使用 URL 重写的技术来实现 Session 跟踪，即在请求服务端的所有请求参数增加一个代表用户标识或者 Session ID 即可。

http://chenpi.com/list?sid=xxx

前面我们说过 Session 可以存储在文件，内存，数据库等地方。会话信息具体存储在哪里其实都得根据自身业务来定，一切脱离业务场景谈技术架构的都是耍流氓， 技术本身无好坏，不过是什么业务场景适合什么技术而已，这也是架构师考虑技术选型的一方面能力。

不过 Session 机制在集群服务中需要考虑 Session 一致性问题。可以在集群服务中做 Session 同步，不过这种方法有一些缺点，例如同步麻烦，同步延迟，多机存储相同的 Session 浪费存储空间。另外一种比较常用的方法就是使用专门的 Session 服务集群来保存用户会话信息，例如 Redis 缓存服务，不仅可搭建集群模式实现高可用可拓展，而且基于内存性能速度快。

public UserContext getUserContext(HttpServletRequest request) {
    String userToken = getUserToken(request, COOKIE_KEY);
    if (!StringUtils.isEmpty(userToken)) {
        String userContextStr = redisUtils.getString(RedisKeyUtil.genKey(userToken));
        if (!StringUtils.isEmpty(userContextStr)) {
            return JSON.parseObject(userContextStr, UserContext.class);
        }
    }
    return null;
}

public String getUserToken(HttpServletRequest request, String cookieName) {
    Cookie[] cookies = request.getCookies();
    if (null != cookies) {
        for (Cookie cookie : cookies) {
            if (Objects.equals(cookie.getName(), cookieName)) {
                return cookie.getValue();
            }
        }
    }
    return null;
}

Cookie

Cookie 是客户端技术，也是很多人实现 Session 会话的选型，服务端可以让客户端将一些信息写入本地 Cookie 中，来达到会话跟踪的目的。不过要注意浏览器本地禁用 Cookie 的情况。

说到 Cookie，就不得不说很多广告商，网站等采用我们个人隐私进行跟踪，分析我们的行为，进行个性化推荐。很多网站利用第三方 Cookie 获取用户信息，发送到服务端记录用户的行为轨迹。你肯定也遇到在其他应用讨论到防脱发，然后你打开淘宝惊奇的发现给你推荐各种防脱发洗发液。不过，目前有些浏览器已经禁用第三方 Cookie 或者进行优化处理了，例如 Safari，Mozilla 等。

我们可以手动将一些信息设置到 Cookie 中，这样客户端不仅可以使用到这些信息，在后续的请求中，服务端也能根据此信息做相应的处理。

public void saveUserContext(HttpServletResponse response, String key, String value) {
    // 设置cookie
    Cookie cookie = new Cookie(key, value);
    cookie.setPath("/");
    // 设置有限期，负数例如-1代表Web浏览器关闭的时候删除，如果不设置就默认-1
    cookie.setMaxAge(12 * 60 * 60);
    response.addCookie(cookie);
}

我们可以通过浏览器查看存储在本地的 Cookie 信息，而且其他网站也可以扫描使用我们存储的 Cookie，所以一些安全性或者保密的信息尽量不要存储在 Cookie 中，因为数据安全性比较低。正常情况下，用户登录信息等比较重要信息存储在服务端 Session 中，其他信息例如会话 ID 可以存储在 Cookie 中。

而且单个 Cookie 的大小也是有限制的，不同浏览器限制规则不一样，一般大小是几 Kb。 不同浏览器对于一个域名下的 Cookie 数量也是有限制的，一般就几十个，而且也有数量饱和时淘汰策略，所以使用要注意这些情况，尽量不要超过浏览器的限制。