由于http协议无状态,需要用session记录客户状态,如购物车场景,服务端为用户创建特定session,用于标识并跟踪用户 服务端保存session的方法很多,内存,数据库,文件都有 集群时考虑session的转移,大型网站会有专门的session服务器集群来保存用户会话,这个时候session一般存放在内存服务端如何识别特定的客户? 每次http请求,客户端会发送响应cookie到服务器,大多数应用用cookie来实现session跟踪的 第一次创建session时,服务端会在http协议告诉客户端,需要在cookie类里记录一个session id,以后每次请求会发送这个id到数据库,我就知道你是谁了 如果浏览器禁用了cookie,可以url重写来进行会话跟踪 Cookie登陆场景,登陆过一次网站,第二次访问不需要输入账号密码自动登陆,就是把信息写到Cookie里,访问网站的时候,网站页面的脚本读取Cookie,自动帮你把用户名填写了Cookiecookie机制cookie内容CookieAPI创建和发送cookie@WebServlet("/sendCookie")public class sendCookie extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //创建cookie Cookie cookie=new Cookie(“name”,“zqf”);//只能存字符串,和域对象不一样 //发送cookie到客户端 response.addCookie(cookie); }}第一次访问可以看到响应头包含cookie,发送给客户端第二次访问可以看到请求头也包含了cookie,是服务器端发送到客户端保存的cookie是会话级别,也就是说浏览器开始到关闭,关闭浏览器时cookie则消失,但是有时候为什么没有消失呢,是因为给cookie设置了在客户端的持久化时间 设置cookie持久化时间 cookie.setMaxAge(10601000); 设置cookie在浏览器中存储时间为10分钟,到时间自动删除cookie信息设置cookie携带路径cookie.setPath("/");访问服务器下所有资源都携带这个cookiecookie.setPath("/项目名/当前页面");则访问当前页面才携带cookie删除cookie.@WebServlet("/removeCookie")public class removeCookie extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { //删除客户端保存name-xxx的cookie信息 Cookie cookie=new Cookie(“name”,""); //设置时间为0 cookie.setMaxAge(0); response.addCookie(cookie); }}获取cookie@WebServlet("/getCookie")public class getCookie extends HttpServlet { //获得cookie的值 public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { Cookie[] cookies = request.getCookies(); for(Cookie cookie:cookies) { String cookieName = cookie.getName(); if(cookieName.equals(“name”)) { String cookieValue = cookie.getValue(); System.out.println(cookieValue); } } }}Sessionsession技术是基于cookie,cookie技术存储session编号–jsessionid session机制session是一种服务度机制,类似散列表结构来存储用户数据浏览器第一次向客户端发送请求时,服务器会自动生成一个session和sessionidsessionid唯一标识这个session服务器响应时把sessionid发送给浏览器浏览器第二次向服务器发送请求时就会携带这个sessionid服务器通过这个id找到对应的session获取用户数据session缺点cookie被禁止,session也会被禁止,可以通过url重写摆脱托cookieCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份Session数据放在服务器上,Cookie数据存放在客户的浏览器上session的生命周期生命周期创建 第一次执行request.getSession()时创建销毁 服务器(非正常)关闭 Session过期 tomcat下web.xml自动配置 手动销毁 session.invalidate();服务器关闭,session就销毁了嘛?不对,有时间的,看session是否过期session和cookie区别session保存在服务器,cookie保存在客户端session中保存的时对象,cookie保存的是字符串session不能区分路径,同一个用户访问一个网站期间,所有的session在任何一个地方都可以访问cookie如果设置路径,则在某些地方不能访问session需要借助cookie才能正常工作,如果禁用cookie,session则失效客户端会在发送请求的时候,自动将本地存活的cookie封装在信息头发送给服务器session和cookie应用场景session上下文机制,针对每一个用户,通过sessionid来区分不同客户session是以cookie或url重写为基础的,默认使用cookie实现,系统会创造一个名为jsessionid的输出cookie重要状态走session,不重要走cookie,登陆信息用session,购物车用cookie