Session和Cookie的区别、生命周期以及安全性

1、Session与Cookie区别

本来关于Session与Cookie查了好多资料，也有了不少想法，查看其他大神blog的时候，发现有一篇写的很好，条理清晰，推荐给大家http://blog.csdn.net/axin66ok/article/details/6175522

2、Session与Cookie的生命周期

首先要明确Session的定义，当用户打开浏览器第一次访问服务器的时候，会创建session(访问静态资源部创建session)，也可以用session.getSession();强制servlet创建session

session有以下几个特点：

1、seesion中的数据是保存在服务器zhong

2、session可以保存任何数据类型

3、session的默认有效期是30min，不过也可以手动配置

因为session的数据是放在服务器中，当短时间大访问量时，过多的session数据会给服务器造成压力，但是session的有效时间可以在配种文件中定义，可以通过配置减少服务器压力

<session-config>
<session-timeout>10</session-timeout>
</session-config>

session的生命周期自第一次访问浏览器时创建，结束有两种方式

1、销毁：可以使用 request.getSession().invalidate()；销毁session，session生命是周期结束

2、过期：当session存在时间超过有效期，自动销毁

Cookie特点：

1、cookie的数据存在客户端，未设置有效期，则存储在计算机内存中，设置了有效期，则存储在硬盘中。

2、cookie较session安全性更低，可以通过解析本地的cookie文件进行cookie欺骗

3、若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。这种生命期为浏览器会话期的cookie被称为会话cookie。同样，cookie也可以设置有效期，设置了有效期的cookie不会随着浏览器的关闭而消失，而是到了有效期才会消失

Cookie的内容主要包括：名字，值，过期时间，路径和域。路径与域一起构成cookie的作用范围。

cookie不能跨浏览器，新开的窗口会重新创建新的cookie，但是子窗口不会重新创建cookie

3、Session和Cookie安全性

众所周知，服务端存储数据用session，客户端存储数据用cookie。

要想盗用session必须要拿到cookie中存放的sessionId，虽然cookie中的sessionId是加密过的，但也不是绝对安全的。

重要的用户数据存储在session中，cookie可以存储其他数据