cookie和session是常用的会话跟踪技术

cookie机制

1、web应用程序是使用HTTP协议传输数据的，HTTP协议是无状态的协议，一旦数据交换完毕就会关闭链接。Cookie可以弥补HTTP协议无状态的不足。

位于：javax.servlet.http.Cookie

2、Cookie具有不可跨域名性。Cookie的管理是浏览器，浏览器判断一个网站是否能操作另一个网站的Cookie的依据是域名。例：p_w_picpaths.baidu.com与www.baidu.com不是同一个域名，cookie不能相互操作。但可以对此类cookie做特殊处理，让其相互访问。

3、Unicode编码：保存中文

中文属于Unicode字符，在内存中占4个字符，而英文属于ASCII字符，内存中只占2个字节。Cookie中使用Unicode字符时需要URLEncode编码，否则乱码。一般采用UTF-8即可，GBK不推荐使用，因为浏览器不一定支持，而javascript也不支持GBK。

4、BASE64编码：保存二进制图片

Cookie可以使用二进制数据。例如在Cookie中使用数字证书，提供安全度。使用二进制数据时需要编码BASE64。

BASE64：sun.misc.BASE64Encode;sun.misc.BASE64Decoder;

byte[] binary = new byte[1024];

String content = BASE64Encode.class.newInstance().encode(binary);

5、Cookie的属性

6、Cookie的有效期

cookie.setMaxAge(秒)

负数：为临时性Cookie，不会被持久化，不会写到cookie文件中，cookie信息保存在浏览器内存中，关闭浏览器cookie就会消失，cookie的默认值为-1。

0:为零表示删除该cookie，会从浏览器内存中删除。

maxAge属性只是被浏览器判断是否过期的，不会提交到服务端。

修改：新建一个同名的cookie，覆盖原来的cookie。

删除：新建同名的cookie，并将maxAge为零，进行覆盖。

7、永久登录

方案：在登录时查询一次数据库，以后访问验证登录信息时不再查询数据库。实现方式是把账号按照一定的规则加密后，连同账号一块保存到cookie中。下次访问时只需要判断账号的加密规则是否正确即可。如：把账号连同密匙用MD5算法加密后保存到cookie中，验证时，验证cookie中的账号与密匙是否与cookie中的一样。

session机制

session对应类javax.servlet.http.HttpSession类

session的使用比cookie方便，但过多的session存储在服务器内存中，会对服务器造成压力。

session的生命周期：

session在用户第一次访问服务器的时候自动创建，需要注意只有访问JSP,Servlet等程序时才会创建session，访问html等静态资源并不会创建session。如果未生成session，可以使用request.getSession(true)强制生成。session生成后，只要用户继续访问，服务器就会更新session的最后时间，并维护session。用户每访问服务器一次，无论是否读写session，服务器都认为该用户的session活跃了一次。

session的有效期：

越来越多的用户访问，session也会越多，为防止内存溢出，服务器会把长时间内没有活跃的session从内存中删除。超时时间属性为maxInactiveInterval，可设置超时时间。

tomcat的默认超时时间是20分钟。

web.xml也可以设置超时时间

60

session对浏览器的要求：

http协议是无状态的，不能依据http连接来判断是否同一客户，因此服务器向客户发送一个名为JSESSIONID的cookie，它的值为session的id，session依据该cookie来识别是否为同一用户。该cookie为服务器自动生成，他的maxAge属性为-1，表示仅当前浏览器内有效。

如果客户端浏览器将cookie功能禁止，或者不支持cookie，例如大多数手机浏览器都不支持cookie，Javaweb提供另一种方案：URL地址重写。

URL地址重写：

原理是将该用户session的id信息重新写到URL地址中。