深入理解session，cookie

在Web开发中，由于HTTP协议的无状态特性，服务器无法识别多次请求是否来自同一个用户，因此需要使用技术手段来维持这种状态。在这个场景下，Cookie和Session成为了关键的角色。接下来，我们将深入探讨这两种技术的工作原理及其在Servlet和JSP中的应用。 我们来看Cookie。Cookie是由服务器端创建并在HTTP响应头中发送到客户端（通常是浏览器）的一小段数据。它以键值对的形式存储信息，如用户ID或购物车内容。客户端在后续的HTTP请求中会自动将相同的Cookie回传给服务器，使得服务器能够识别出特定的用户。 在Java的Servlet API中，Cookie对象代表了一个单一的键值对。创建一个新的Cookie实例需要调用`new Cookie(String name, String value)`，然后可以通过`setMaxAge(int seconds)`来设定其生命周期。例如，`cookie.setMaxAge(20)`表示该Cookie将在20秒后失效。如果希望Cookie在浏览器关闭时失效，可以设置`setMaxAge(-1)`；若想立即删除Cookie，则设置`setMaxAge(0)`。一旦设置好，可以通过`response.addCookie(Cookie cookie)`将Cookie添加到响应中。 举个例子，假设我们有一个Servlet处理 `/testCookie` 请求，当`option`参数为`add`时，Servlet创建并设置一个名为`cool`、值为`yeah!`的Cookie，生命周期为20秒。而当`option`为`show`时，Servlet会读取所有Cookie，并打印出名称为`cool`的Cookie的值。 HTTP交互中，Cookie的传递是通过HTTP头部的`Set-Cookie`字段实现的。当服务器返回包含`Set-Cookie`的响应时，浏览器会在本地存储这个Cookie，并在之后的请求中通过`Cookie`头部将其回传。如上面的例子所示，浏览器发送的请求头中就包含了之前由服务器设置的`cool` Cookie。 接下来，我们讨论Session。Session是在服务器端保存用户状态的一种方法。与Cookie不同，Session数据存储在服务器上，而不是客户端。服务器通过一个唯一的Session ID来标识每个用户，这个ID通常通过Cookie或URL重写等方式发送给客户端。 在Servlet中，`HttpServletRequest`对象提供了`getSession()`方法来获取或创建Session。例如，`HttpSession session = request.getSession();`会创建一个新的Session（如果当前请求还没有Session的话）或者返回已存在的Session。一旦有了Session，就可以使用`setAttribute(String name, Object value)`来存储数据，如`session.setAttribute("username", "John");`。反之，使用`getAttribute(String name)`可以获取数据，`removeAttribute(String name)`用于移除某个属性。 然而，Session也有生命周期，服务器默认会话会话空闲一段时间后自动失效。这个时间间隔可以通过`<session-config>`标签在web.xml中配置。此外，`HttpSession`对象提供了`setMaxInactiveInterval(int interval)`方法来设置自最后一次活动以来，Session在多久后失效。 Cookie和Session都是用来处理HTTP无状态问题的工具，但它们各有优缺点。Cookie存储在客户端，适合存储少量不敏感信息，且能跨域；而Session在服务器端，安全性较高，适合存储敏感信息，但过多的Session可能导致服务器内存压力增大。开发者需要根据实际需求权衡选择使用哪种机制来保持用户状态。