一、什么是会话？

会话可简单理解为：用户打开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。会话过程中要解决一些问题：每个用户与服务器进行交互的过程中，各自会有一些数据，程序要想办法保存每个用户的数据；那么怎样解决这样的问题呢？——借助于两种会

话技术。

二、Cookie会话技术

1、Cookie的定义

Cookie是客户端技术，程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去。这样，web资源处理的就是用户各自的数据了（Cookie翻译成中文是小甜点，小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie就是一个键和一个值构成的，随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。）。

2、Cookie的规范

我们可以放心，Cookie不会占满你的硬盘。因为一个Cookie最多只有4KB，一个服务器最多只能发送到客户端20个Cookie，并且浏览器最多可以保存300个Cookie。当然，在浏览器大战的今天，一些浏览器为了打败对手，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能。不同的浏览器之间不能共享Cookie

3、Cookie的作用

Cookie的作用很大，但无论怎么夸大Cookie的作用都离不开“跟踪客户端状态”这句话。我们知道Cookie是服务器保存在客户端的信息，然后客户端会在下次请求时把Cookie在还给服务器，这样服务器就可以通过信息来识别客户端了。就好比你去医院看病，第一次去需要买卡片，然后你去任何科室都需要你出示卡片。只要你出示卡片，医生就会知道你去过哪些科室，看了哪些病！卡片上只有一个ID，它就是Cooke，而你本人就是客户端，而医生就是服务器了。

4、Cookie的属性：

Cookie最重要的4个属性为：

1. 名字（name）
2. 值（value）
3. 路径（path）
4. 域（domain）

5、Cookie的API

保存Cookie到客户端，这是响应工作的一部分，所以这个方法是response对象的，并且Cookie是HTTP协议中的内容，所以保存Cookie是HttpServletResponse类中的方法。

JAVAx.servlet.http.Cookie类用于创建一个Cookie，response接口中定义了一个addCookie方法，void addCookie(Cookie c)：添加Cookie对象到当前response对象中，这个方法可以被调用多次，从而完成添加多个Cookie对象到response中。它用于在其响应头中增加一个相应的Set-Cookie头字段。 同样，request接口中也定义了一个getCookies方法，它用于获取客户端提交的Cookie：HttpServletRequest：Cookie[] getCookies()，它返回的是Cookie数组，而不是一个Cookie对象。如果请求中没有Cookie，那么该方法返回null。

Cookie类中的方法有：

public Cookie(String name,String value)：cookie的构造方式

String getName()：获取cookie的名称

String getValue()：获取cookie的值

void setMaxAge(int expiry)：设置有效时间，失效cookie：setMaxAge(0);前提条件是：设置有效路径（和之前设置过相同），cookie.setMaxAge(-1)：cookie的maxAge属性的默认值就是-1（其实只要是负数都是一个意思），表示只在浏览器内存中存活。一旦关闭浏览器窗口，那么cookie就会消失。

void setPath(String uri)：设置有效路径

void setDomain(String pattern)：设置有效域名

6、Cookie的分类：

会话级别cookie：保存在浏览器中，浏览器关闭cookie就失效了

持久的cookie：存到本地的文件中，需要设置有效的保存时间（通过setMaxAge(int a)进行设置）；

如果创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie（即存储在浏览器的内存中），用户退出浏览器之后即被删除。若希望浏览器将该cookie存储在磁盘上，则需要使用maxAge，并给出一个以秒为单位的时间。

删除持久cookie，可以将cookie最大时效设为0，注意，删除cookie时，path必须一致，否则不会删除

二、Session会话技术

Session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问服务器中的其它web资源时，其它web资源再从用户各自的session中取出数据为用户服务。Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象。

1. Session也是域对象之一，它的范围是在一个会话范围内有效。Session既然是域对象，那么当然就要有getAttribute()和setAttribute()系列方法了。
2. 在一个会话内共享一个Session对象，所以Session中可以保存一个会话内的数据。例如当前用户的信息。
3. Session的范围大于request，可以在一个会话中多个请求之间共享数据。但Session的范围小于Application，Session不能在多个用户之间共享数据。

1.获取Session对象

使用request.getSession()方法就可以获取Session对象。有了Session，就不用使用Cookie来跟踪会话了！但是Session不能像Cookie那样长命，一旦用户关闭浏览器窗口，那么Session就死掉了。

2.Session的实现原理

我们都知道HTTP是无状态协议，但是为什么session可以跟踪会话状态呢？因为，session依赖Cookie。利用cookie回写了一个JSESSIONID（JESSIONID就是为每个seesion起一个唯一的标识）

类似于银行卡，卡上只有一个ID，其他什么都没有，表示金额的这个数据在银行的数据库里。那为什么在ATM上我们只需要把卡插入就可以看到卡上余额呢？原因是ATM获取卡上的ID，然后通过ID去银行数据库中查找对应的账户！每个账户都有一个ID属性，账户上可能还会有密码属性、余额属性等。每张卡上只有一个ID，再没有其他的东西了。但ATM可以读取卡上的ID，然后去银行数据库中查找对应的账户！所以你大可以放心，银行卡坏掉了没有关系，钱不会掉的，因为账户余额在银行的数据库中，你只需要重新去银行办一张卡，把你的卡号置入到新卡中就OK了。

每个session对象都有一个id属性，session就相当于银行的账户。而sessionId就相当于卡！银行数据库就是Tomcat服务器，而手里只有卡的我们就是客户端浏览器。

当你第一次去银行办理业务时，这需要办一张卡，然后你需要拿着卡回家，下一次再去银行办理业务时就不需要再办卡了，但你不要忘记带着卡去银行。

当客户端第一次访问服务器时，服务器会为客户端创建一个session对象，然后把session对象放到session池中，在响应时把sessionId通过Cookie响应给客户端。注意，只有在第一次访问时，服务器才会创建session，给客户端响应sessionId。从此以后就不会了！

当客户端再次访问服务器时，会在请求中带着sessionId给服务器，服务器通过sessionId到session池中找到session对象，这就可以完成会话跟踪了。也就是说，服务器端保存的是session对象，而客户端只有sessionId。每次访问都需要通过客户端的sessionId来匹配服务器端的session对象！这样用户在session中保存的数据就可以再次被使用了。

sessionId是服务器通过Cookie发送给客户端浏览器的，这个Cookie的maxAge为-1，即只在浏览器内存中存在。如果你关闭所有浏览器窗口，那么这个Cookie就会消失了！

3.Session失效

Session失效有如下几个原因：

1. 客户端的请求中没有sessionId。可能是因为这是第一次请求（开始一个新的会话），也可能是服务器设置Cookie的maxAge为0导致的；（客户端没有银行卡）
2. 客户端请求中存在sessionId，但这个sessionId在session池中没有匹配的session对象。这可能是因为session太久没有使用，服务器把session从池中移除的原因；（银行卡没有对应的银行账户）
3. 客户端请求中存在sessionId，但匹配的session对象被标记为失效！这可能是因为服务器调用了session.invalidate()方法导致的。（银行账户找到了，但账户已被冻结）

4.与session相关的方法

String getId()：获取sessionId；

int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟。当session在30分钟内没有使用，那么Tomcat会在session池中移除这个session；

void setMaxInactiveInterval(int interval)：设置session允许的最大不活动时间（秒），如果设置为1秒，那么只要session在1秒内不被使用，那么session就会被移除；

long getCreationTime()：返回session的创建时间，返回值为当前时间的毫秒值；

long getLastAccessedTime()：返回session的最后活动时间，返回值为当前时间的毫秒值；

void invalidate()：让session失效，调用这个方法会让session失效，当session失效后，客户端再次请求，服务器会给客户端创建一个新的session，并在响应中给客户端新session的sessionId；

boolean isNew()：查看session是否为新。当客户端第一次请求时，服务器为客户端创建session，但这时服务器还没有响应客户端，也就是还没有把sessionId响应给客户端时，这时session的状态为新。

5.Session和Cookie的主要区别在于：

具体来总结：用于面试中回答

都是用来跟踪浏览器用户身份的会话方式

1. Cookie是把用户的数据写给用户的浏览器，数据保存在客户端；Session技术把用户的数据写到用户独占的session中（服务器端），数据保存在服务器端。
2. Cookie不是很安全，别人可以分析存在本地的Cookie，并进行Cookie欺骗，如果需要考虑安全，则使用Session；
3. Session会在一定时间内保存在服务器上，当访问增多，会笔尖占用你的服务器的性能，如果主要考虑减轻服务器性能方面，应当使用Cookie
4. Cookie有大小和个数的限制。