Cookie对象与Session对象-java

1.Cookie对象

1.1常见的方法

（1）创建Cookie对象，绑定数据

　　new Cookie(String name, String value)

（2）发送Cookie对象

　　response.addCookie(Cookie cookie)

（3）获取Cookie，拿到数据

　　Cookie[]  request.getCookies()

示例：

@WebServlet("/cookieDemo")
public class CookieDemo extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // 获取Cookie
        Cookie[] cs = req.getCookies();

        // 遍历Cookies[]
        if (cs != null){
            for (Cookie c : cs) {
                String name = c.getName();
                String value = c.getValue();
                System.out.println(name + ":" + value);
            }
        }
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        this.doGet(req,resp);
    }
}

1.2Cookie的实现原理

基于响应头set-cookie和请求头cookie实现

1.3Cookie的细节

（1）一次可不可以发送多个cookie?

可以。可以创建多个Cookie对象，使用response调用多次addCookie方法发送cookie即可。

（2）cookie在浏览器中保存多长时间？

默认情况下，当浏览器关闭后，Cookie数据被销毁（保存在浏览器内存）。但是我们可以设置cookie的保存时间（持久化到硬盘）。具体方法：

setMaxAge(int seconds)

1. 正数：将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间，时间到后，cookie文件自动失效
2. 负数：默认值
3. 零：删除cookie信息

（3）cookie能不能存中文？

在tomcat 8 之前 cookie中不能直接存储中文数据，需要将中文数据转码---一般采用URL编码。
在tomcat 8 之后，cookie支持中文数据。特殊字符还是不支持，建议使用URL编码存储，URL解码解析

（4）假设在一个tomcat服务器中，部署了多个web项目，那么在这些web项目中cookie能不能共享？

默认情况下不可以。但是可以设置。setPath(String path)：设置cookie的获取范围。默认情况下是设置为当前的虚拟目录。如果要共享，则可以将path设置为"/"。

（5）不同的tomcat服务器间cookie共享问题？

setDomain(String path):如果设置一级域名相同，那么多个服务器之间cookie可以共享。

例如：

setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享

---

2.HttpSession对象

2.1常见的方法

（1）获取HttpSession对象

HttpSession session = request.getSession();

（2）使用HttpSession对象

Object getAttribute(String name)  
void setAttribute(String name, Object value)
void removeAttribute(String name)

2.2实现原理

Session的实现是依赖于Cookie的。

刚开始没有Session对象时，HttpSession session = request.getSession();拿不到Session对象，此时服务端会自动创建一个Cookie对象，new Cookie(“JSESSIONID”, [这里是session的id])。并发送Cookie对象给客户端。response.addCookie(Cookie cookie)。这时候request.getSession()就可以拿到Session的id了，然后根据id查询出Session对象。

如果本来客户端的Cookie就有Session的id。就直接获取到id并查询获取到Session对象了。

2.3HttpSession的细节

（1）当客户端关闭后，服务器不关闭，两次获取session是否为同一个？

默认情况下不是，因为Cookie一关闭浏览器就删除了。第二次再请求服务器，服务器如果要获取Session对象，就会再创建一个新的Session对象了。

但是我们可以设置Cookie的存活时间，来保证cookie重启了浏览器后还存在。

Cookie c = new Cookie("JSESSIONID",session.getId());
c.setMaxAge(60*60);
response.addCookie(c);

（2）客户端不关闭，服务器关闭后，两次获取的session是同一个吗？

很明显的，不是同一个。

但是如果服务器重启，丢失了原来的Session，是一件很惨的事情。比如你是一个商城应用，未登录的用户的购物车信息都存在服务器的Session对象里。突然你丢失了，用户的购物车数据全都不见了。有什么解决办法呢？

session的钝化：在服务器正常关闭之前，将session对象系列化到硬盘上
session的活化：在服务器启动后，将session文件转化为内存中的session对象即可。

如果我们的应用部署在Tomcat的webapps上，Tomcat服务器已经帮我们做好了session的钝化和活化了。但是在IDEA里面只有钝化，没有活化。（这里不细说了，感兴趣的自己了解下）。还有一个条件，必须是Tomcat正常关闭的前提下。所以还是自己做一下session的钝化和活化为好。具体就是把对象序列化到一个文件。

（3）session什么时候被销毁？

1. 服务器关闭
2. session对象调用invalidate() 。
3. session默认失效时间 30分钟（就算开着浏览器，30分钟没有操作Session，服务器也会自动销毁）
选择性配置修改    
<session-config>
　　<session-timeout>30</session-timeout>
</session-config>

2.4session的特点

1. session用于存储一次会话的多次请求的数据，存在服务器端
2. session可以存储任意类型，任意大小的数据

2.5Session与Cookie的区别？

1. session存储数据在服务器端，Cookie在客户端
2. session没有数据大小限制，Cookie有
3. session数据安全，Cookie相对于不安全