cookie、session、jsession 关系

感谢大佬：https://www.cnblogs.com/fsjin/articles/3490531.html

在使用CAS的时候，对Cookies、session、jsession 这三者是什么不是很了解。翻阅资料和实践后终于明白这三者的概念和它们的用处。

一、http

我们知道网页的传输大部分基于http协议。

HTTP协议的主要特点可概括如下：

1.支持客户/服务器模式。

2.简单快速：客户向服务器请求服务时，只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单，使得HTTP服务器的程序规模小，因而通信速度很快。

3.灵活：HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。

4.无连接：无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求，并收到客户的应答后，即断开连接。采用这种方式可以节省传输时间。

5.无状态：HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息，则它必须重传，这样可能导致每次连接传送的数据量增大。另一方面，在服务器不需要先前信息时它的应答就较快。

因为HTTP协议是无状态的，即服务器不知道用户上一次做了什么，这严重阻碍了交互式Web应用程序的实现。在典型的网上购物场景中，用户浏览了几个页面，买了一盒饼干和两瓶饮料。最后结帐时，由于HTTP的无状态性，不通过额外的手段，服务器并不知道用户到底买了什么。 所以Cookie就是用来绕开HTTP的无状态性的“额外手段”之一。服务器可以设置或读取Cookies中包含信息，借此维护用户跟服务器会话中的状态。

因为cookie是存储在客户端的，客户可能会对这些信息进行修改或清除。这样会造成安全性问题。为了解决这个问题，使用session的方式保存用户的相关信息。

二、什么是cookie 机制？

正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。

cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。若设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie仍然有效直到超过设定的过期时间。存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存里的cookie，不同的浏览器有不同的处理方式。

三、什么是session机制？

session机制是一种服务器端的机制，服务器使用一种类似于散列表的结构（也可能就是使用散列表）来保存信息。

当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否已包含了一个session标识------------称为session id，如果已包含则说明以前已经为此客户端创建过session，服务器就按照session id把这个session检索出来使用（检索不到，会新建一个），如果客户端请求不包含session id，则为此客户端创建一个session并且生成一个与此session相关联的session id，session id的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个session id将被在本次响应中返回给客户端保存。

保存这个session id的方式可以采用cookie，这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止，则必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。

cookie 和session 的最大特点是：

cookie： 会话信息是保存在用户的浏览器中。

session ：会话信息是保持在服务端的。

Jsessionid?

Jsessionid只是tomcat的对sessionid的叫法，其实就是sessionid；在其它的容器也许就不叫jsessionid了。

附 cookies 相关属性解释：

Cookie

( object )表示一个HTTP cookie的信息。

name ( string )cookie名称。

value ( string )cookie值。

domain ( string )cookie的域名。(例如 “www.google.com”, “example.com”).

hostOnly ( boolean )True表示cookie是一个host-only cookie (例如，一个检索的主机必须与cookie的域名完全一致）。

path ( string )cookie的路径。

secure ( boolean )True表示cookie被标记为保密。(例如，它的有效范围被限制于加密频道，最典型是HTTPS).

httpOnly ( boolean )True表示cookie被标记为HttpOnly (例如cookie在客户端的脚本无法访问)。

session ( boolean )True表示cookie是线程cookie，与有过期时间的持久cookie相对应。

expirationDate ( optional number )cookie的过期时间，用从UNIX epoch（00:00:00 UTC on 1 January 1970）开始计的秒数表示。会话cookie没有该属性。

storeId ( string )包含该cookie的存储id，可通过getAllCookieStores()获取。

相关链接：

http://www.cnblogs.com/fnng/archive/2012/08/14/2637279.html http://open.chrome.360.cn/extension_dev/cookies.html