JSessionId谈cookie与session的区别和联系

1:在一些投票之类的场合，我们往往因为公平的原则要求每人只能投一票，在一些WEB开发中也有类似的情况，这时候我们通常会使用COOKIE来实现，例如如下的代码：

< % cookie[]cookies = request.getCookies();

if (cookies.lenght == 0 || cookies == null)

doStuffForNewbie();

//没有访问过

}

else

{

doStuffForReturnVisitor(); //已经访问过了

}

% >

这是很浅显易懂的道理，检测COOKIE的存在，如果存在说明已经运行过写入COOKIE的代码了，然而运行以上的代码后，无论何时结果都是执行doStuffForReturnVisitor()，通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件，奇怪，代码明明没有问题，不过既然有cookie，那就显示出来看看。

cookie[]cookies = request.getCookies();

if (cookies.lenght == 0 || cookies == null)

out.println("Has not visited this website");

}

else

{

for (int i = 0; i < cookie.length; i++)

{

out.println("cookie name:" + cookies[i].getName() + "cookie value:" +

cookie[i].getValue());

}

}

运行结果:

cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6
为什么会有cookie呢,大家都知道，http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，我们叫做session cookie,以区别persistent
cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的，并不是写到硬盘上的，这也就是我们刚才看到的JSESSIONID，我们通常情是看不到JSESSIONID的，但是当我们把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。

明白了原理，我们就可以很容易的分辨出persistent cookies和session cookie的区别了，网上那些关于两者安全性的讨论也就一目了然了，session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本（通常是加密的），而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击，自然不如sessioncookie安全了。

通常session cookie是不能跨窗口使用的，当你新开了一个浏览器窗口进入相同页面时，系统会赋予你一个新的sessionid，这样我们信息共享的目的就达不到了，此时我们可以先把sessionid保存在persistent cookie中，然后在新窗口中读出来，就可以得到上一个窗口SessionID了，这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session
tracking（会话跟踪）。

在一些web开发的书中，往往只是简单的把Session和cookie作为两种并列的http传送信息的方式，session cookies位于服务器端，persistent cookie位于客户端，可是session又是以cookie为基础的，明白的两者之间的联系和区别，我们就不难选择合适的技术来开发web
service了。

2:

我们可以设计一个Servlet，来看一看session到底是怎么工作的。

在Servlet中，可以设计这样的代码：

//打印出sessionid，用来判断session是否新建

HttpSession session = request.getSession();

System.out.println("::SESSION ID IS : " + session.getId());

//打印出请求报头中的内容

Enumeration enu_req_headers = request.getHeaderNames();

while(enu_req_headers.hasMoreElements()) {

String headerName = (String)enu_req_headers.nextElement();

if(!headerName.equals("cookie")) {//非Cookie报头

System.out.println(headerName);

}

else {//Cookie报头

String content = request.getHeader("cookie");

System.out.println("::cookie : " + content);

}

}

//响应中是否含有Set-Cookie，浏览器的下次提交将会受此影响

boolean containCookie = response.containsHeader("Set-Cookie");

System.out.println("::If The Response Contain Header:Set-Cookie? : "+containCookie);

//判断此session是否是新创建的

System.out.println("::If The Session is NEW : " + request.getSession().isNew());

System.out.println();

来查看session的工作情况。

1、session是在何种情况下创建的？

重启服务器，重新打开浏览器（这里就用IE了）。输入地址，得到输出为：

::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466

accept

accept-language

accept-encoding

user-agent

host

connection

::If The Response Contain Header:Set-Cookie? : true

::If The Session is NEW : true

注意到，在请求报头中，没有cookie的内容。但在response响应中，有Set-Cookie的要求，这将影响到下一次浏览器的请求。

刷新一下，得到的输出为：

::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466

accept

accept-language

accept-encoding

user-agent

host

connection

::cookie : JSESSIONID=42DE852FBD9E23C5CA5E06E883D6F466

::If The Response Contain Header:Set-Cookie? : false

::If The Session is NEW : false

可以看到，浏览器向服务器提交了cookie，使用的是原来的session。由于这里并没有新建session，因此也没有了Set-Cookie的要求。

关闭浏览器的接受cookie功能，重启浏览器，并刷新一次页面，可以得到以下输出：

::SESSION ID IS : 5BF9763193E7E6FAF959B4224ED18977

accept

accept-language

accept-encoding

user-agent

host

connection

::If The Response Contain Header:Set-Cookie? : true

::If The Session is NEW : true

::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195

accept

accept-language

accept-encoding

user-agent

host

connection

::If The Response Contain Header:Set-Cookie? : true

::If The Session is NEW : true

可以看到，每次的请求都会创建一个session，并且每次都会有Set-Cookie的要求。

我在地址栏的地址后面加上 ;jsessionid=EB216E0FE7FAD5CAF9C6A472F0D72195，再次刷新页面，可以看到这样的输出：

::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195

accept

accept-language

accept-encoding

user-agent

host

connection

::If The Response Contain Header:Set-Cookie? : false

::If The Session is NEW : false

可以看到，没有新建session，也没有Set-Cookie的要求。这里就是使用URL重写来实现的会话跟踪。但若jsessionid的值在现有session中找不到，servlet容器还是会创建一个新的session。

现在，将浏览器的接收cookie功能打开，验证最后一个特征。

先重启一下浏览器，刷新一下，得到的输出如下：

::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805

accept

accept-language

accept-encoding

user-agent

host

connection

::If The Response Contain Header:Set-Cookie? : true

::If The Session is NEW : true

::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805

accept

accept-language

accept-encoding

user-agent

host

connection

::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805

::If The Response Contain Header:Set-Cookie? : false

::If The Session is NEW : false

现在，重启服务器，但不要关闭浏览器。待服务器重启完毕，再刷新一下页面，可以看到这样的输出：

::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805

accept

accept-language

accept-encoding

user-agent

host

connection

::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805

::If The Response Contain Header:Set-Cookie? : false

::If The Session is NEW : false

怎么还是用的先前那个session？这个session在服务器重启时候就应该没有了啊。

根据以上这些输出，可以得知，在tomcat中，创建session的规律：

1、创建session的时候会附带着创建一个cookie，它的MaxAge为-1，也就是说只能存在于内存中。当浏览器端禁用cookie时，这个cookie依然会被创建。

2、当浏览器提交的请求中有jsessionid参数或cookie报头时，容器不再新建session，而只是找到先前的session进行关联。这里又分为两种情况：

1）使用jsessionid。该值若能与现有的session对应，就不创建新的session，否则，仍然创建新的session。

2）使用cookie。该值若能与现有的session对应，也不创建新的session；但若没有session与之对应（就如上面的重启服务器之后）容器会根据cookie信息恢复这个与之对应的session，就好像是以前有过一样。

2、session何时被销毁？

当我们关闭浏览器，再打开它，连接服务器时，服务器端会分配一个新的session，也就是说会启动一个新的会话。那么原来的session是不是被销毁了呢？

通过实现一个SessionListener可以发现，当浏览器关闭时，原session并没有被销毁（destory方法没有执行），而是等到timeout到期，才销毁这个session。关闭浏览器只是在客户端的内存中清除了与原会话相关的cookie，再次打开浏览器进行连接时，浏览器无法发送cookie信息，所以服务器会认为是一个新的会话。因此，如果有某些与session关联的资源想在关闭浏览器时就进行清理（如临时文件等），那么应该发送特定的请求到服务器端，而不是等到session的自动清理。