传智播客崔希凡JavaWeb-day11-Cookie和session

COOKIE和SESSION的关系和区别1、什么是cookieCookie,英文含义是小甜点，在计算机领域叫做小量信息，是保存在浏览器上的数据。

该信息由网络服务器创建并发出来以存储在网络浏览器上，从而下次这个独一无二的网络浏览器再次访问这个独一无二网络服务器时，网络浏览器就会主动将该信息发送给服务器。

Cookie是浏览器和服务器之间进行信息传递的一门技术，具体和java、php、.net没有关系. Java、php、ne只是可以操作cookie的一门技术。

Cookie由服务器生成并且发送给浏览器从而保存在浏览器.下次该浏览器再访问该服务器时,浏览器会主动的将Cookie信息发送给服务器。

2、什么是sessionSession是保存在服务器上的数据。

属于服务器上的技术，该技术是基于Cookie技术实现的。

在服务端，需要为每次来访的浏览器创建一个独立数据空间，并且为每块内存空间分配一个唯一的标识(PHPSESSID)，该标识再通过cookie的形式发送给浏览器让浏览器保存。

该浏览器再次发送请求时附带这cookie的值(唯一的标识PHPSESSID)发送给服务器，服务器就会根据该标识找到独立的数据空间。

Session技术:将数据保存在服务器端，使浏览器保存存储数据空间的标识(PHPSESSID)。

该浏览器再次请求该服务器时，浏览器将该标识(PHPSESSID)发送给服务器，服务器利用该标识(PHPSESSID)找到数据空间从而对数据进行处理。

3、操作COOKIE和SESSION1、COOKIE操作1.1 设置COOKIEPHP使用setcookie()函数来设置COOKIEbool setcookie(string $name, string $value, int $expire = 0, string $path string $domain, bool $secure,bool $httponly );参数说明：cookie名称，cookie值，过期时间(int),有效路径，有限域名，https传递才有效浏览器和服务器之间的Cookie传递是通过HTTP协议的头信息传递的。

javaWeb基础知识----Cookie，Session •HTTP协议是一种无状态的协议，WEB服务器本身不能识别出哪些请求是同一个浏览器发出的，浏览器的每一次请求都是完全孤立的•即使HTTP1.1支持持续连接，但当用户有一段时间没有提交请求，连接也会关闭。

•怎么才能实现网上商店中的购物车呢：某个用户从网站的登录页面登入后，再进入购物页面购物时，负责处理购物请求的服务器程序必须知道处理上一次请求的程序所得到的用户信息。

•作为web 服务器，必须能够采用一种机制来唯一地标识一个用户，同时记录该用户的状态1.会话和会话状态•WEB应用中的会话是指一个客户端浏览器与WEB服务器之间连续发生的一系列请求和响应过程。

•WEB应用的会话状态是指WEB服务器与浏览器在会话过程中产生的状态信息，借助会话状态，WEB服务器能够把属于同一会话中的一系列的请求和响应过程关联起来。

2.如何实现有状态的会话•WEB服务器端程序要能从大量的请求消息中区分出哪些请求消息属于同一个会话，即能识别出来自同一个浏览器的访问请求，这需要浏览器对其发出的每个请求消息都进行标识：属于同一个会话中的请求消息都附带同样的标识号，而属于不同会话的请求消息总是附带不同的标识号，这个标识号就称之为会话ID（SessionID）。

•在Servlet规范中，常用以下两种机制完成会话跟踪–Cookie–Session一、Cookie[java] view plain copy 在CODE上查看代码片派生到我的代码片/*** @author changwen on 2016/11/13.*/import java.io.Serializable;import java.text.MessageFormat;import java.util.Locale;import java.util.ResourceBundle;public class Cookie implements Cloneable, Serializable {private static final long serialVersionUID = -6454587001725327448L;private static final String TSPECIALS;private static final String LSTRING_FILE = "javax.servlet.http.LocalStrings";private static ResourceBundle lStrings = ResourceBundle.getBundle("javax.servlet.http.LocalStrings");private String name; //这个只有get方法/*下面几个属性都只有简单get,set方法*/private String value;private String comment;private String domain; //这个set方法有处理过private int maxAge = -1;private String path;private boolean secure;private int version = 0;//需要了解，boolean类型的get方法是这样子public boolean isHttpOnly() {return isHttpOnly;}private boolean isHttpOnly = false;public Cookie(String name, String value) {if(name != null && name.length() != 0) {if(this.isToken(name) && !name.equalsIgnoreCase("Comment") && !name.equalsIgnoreCase("Discard")&& !name.equalsIgnoreCase("Domain") && !name.equalsIgnoreCase("Expires")&& !name.equalsIgnoreCase("Max-Age") && !name.equalsIgnoreCase("Path")&& !name.equalsIgnoreCase("Secure") && !name.equalsIgnoreCase("Version")&& !name.startsWith("$")) { = name;this.value = value;} else {String errMsg = lStrings.getString("err.cookie_name_is_token");Object[] errArgs = new Object[]{name};errMsg = MessageFormat.format(errMsg, errArgs);throw new IllegalArgumentException(errMsg);}} else {throw new IllegalArgumentException(lStrings.getString("err.cookie_name_blank"));}}private boolean isToken(String value) {int len = value.length();for(int i = 0; i < len; ++i) {char c = value.charAt(i);if(c < 32 || c >= 127 || TSPECIALS.indexOf(c) != -1) {return false;}}return true;}public Object clone() {try {return super.clone();} catch (CloneNotSupportedException var2) {throw new RuntimeException(var2.getMessage());}}static {if(Boolean.valueOf(System.getProperty("org.glassfish.web.rfc2109_cookie_names_enforced", "true")).booleanValue()) {TSPECIALS = "/()<>@,;:\\\"[]?={} \t";} else {TSPECIALS = ",; ";}}public void setDomain(String domain) {this.domain = domain.toLowerCase(Locale.ENGLISH);}public String getDomain() {return this.domain;}public String getName() {return ;}}Servlet API中提供了一个javax.servlet.http.Cookie类来封装Cookie信息，它包含有生成Cookie信息和提取Cookie信息的各个属性的方法。

一、单选题1、以下关于Cookie的说法正确的是（）。

A. Cookie就像蠕虫病毒一样，可以清除用户硬盘上的数据B. Cookies仅是数据，不是程序代码C. Cookie是间谍软件的一种形式，可以窃取你的个人信息D. Cookie生成弹出窗口和垃圾邮件正确答案：B2、对于会话cookie，以下说法正确的是（）。

A.当浏览器关闭后，临时cookies将被删除B.可以跟踪长期信息C.用户可以打开cookie文件，查看/更改cookie值D.潜在的安全性较差正确答案：A3、在JavaScript中，可以通过（）来删除当前页面中给定的cookie。

A. cookie.setB. cookie.removeC. cookie.clearD. cookie.get正确答案：B4、PHP中关于删除cookie不正确的是（）。

A. setcookie(“stu_ID”, 42, time()-1)B. setcookie(“stu_ID”, False)C. setcookie(“stu_ID”, “100001”)D.删除浏览器中的cookie正确答案：C5、以前使用过的session，在重新使用之前必须做（）操作才能避免之前的session不会被保留。

A. session_destroyB. session_startC. session_regenerate_idD. session_unset正确答案：C二、多选题1、以下属于Cookies用途的是（）。

A.维护用户偏好B.认证C.用户跟踪D.地址转向正确答案：A、B、C2、关于session的说法正确的是（）。

A.在用户注销或关闭浏览器之前可以一直存在B.会话很难被恶意用户篡改或删除C.保护私人信息不被计算机的其他用户看到D.数据一般存储在服务器上正确答案：A、B、C、D三、判断题1、Cookies很难被恶意用户篡改或删除。

（）正确答案：×解析：Cookies不行，Session可以2、session_start必须在脚本顶部调用，在生成任何HTML输出之前调用。

java web session用法Java Web Session是Java Web编程中用来维护用户会话的一种机制，它在服务器端存储用户信息，实现用户在多个页面之间共享数据的功能。

在Java Web应用中，Session会话管理是非常重要的一项基础技术，以下是关于Java Web Session用法的详细阐述：1. 创建Session对象在Java Web应用程序中，创建Session对象是必要的，它用于存储用户的信息和数据，以便用户在访问网站的过程中保持会话。

为了实现这个操作，我们需要使用HttpServletRequest。

getSession()方法创建Session对象。

例如，HttpServletRequest request = req.getSession();就可以创建Session对象了。

2. 设置Session信息创建Session对象后，可以通过setAttribute()方法设置Session的属性和值，这些属性和值将在网站的不同页面之间共享和传递。

例如：request.setAttribute("username","Tom");，就可以将用户名为Tom的信息存储到Session中。

3. 获取Session信息获取Session中存储的信息和属性也很简单，只需要通过getAttribute()方法获取即可。

例如：String userName = request.getAttribute("username"); 就可以获取Session中存储的用户名信息。

4. Session超时设置Session超时是指Session对象在多长时间内没有活动，就自动销毁。

在Java Web应用程序中可以通过在web.xml文件中配置Session的超时时间来控制Session的销毁时间。

代码如下：<session-config><session-timeout>30</session-timeout></session-config>以上代码表示将Session的超时时间设置为30分钟。

JAVA详解session和cookie一、cookie机制和session机制的区别具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。

同时我们也看到，由于才服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上还有其他选择二、会话cookie和持久cookie的区别如果不设置过期时间，则表示这个cookie生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。

这种生命期为浏览会话期的 cookie被称为会话cookie。

会话cookie一般不保存在硬盘上而是保存在内存里。

如果设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。

存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。

而对于保存在内存的cookie，不同的浏览器有不同的处理方式。

三、如何利用实现自动登录当用户在某个网站注册后，就会收到一个惟一用户ID的cookie。

客户后来重新连接时，这个用户ID会自动返回，服务器对它进行检查，确定它是否为注册用户且选择了自动登录，从而使用户务需给出明确的用户名和密码，就可以访问服务器上的资源。

四、如何根据用户的爱好定制站点网站可以使用cookie记录用户的意愿。

对于简单的设置，网站可以直接将页面的设置存储在cookie中完成定制。

然而对于更复杂的定制，网站只需仅将一个惟一的标识符发送给用户，由服务器端的数据库存储每个标识符对应的页面设置。

五、cookie的发送1.创建Cookie对象2.设置最大时效3.将Cookie放入到HTTP响应报头如果你创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie:存储在浏览器的内存中，用户退出浏览器之后被删除。

会话跟踪技术1什么是会话跟踪技术我们需要先了解一下什么是会话！可以把会话理解为客户端与服务器之间的一次会晤，在一次会晤中可能会包含多次请求和响应。

例如你给10086打个电话，你就是客户端，而10086服务人员就是服务器了。

从双方接通电话那一刻起，会话就开始了，到某一方挂断电话表示会话结束。

在通话过程中，你会向10086发出多个请求，那么这多个请求都在一个会话中。

在JavaWeb中，客户向某一服务器发出第一个请求开始，会话就开始了，直到客户关闭了浏览器会话结束。

在一个会话的多个请求中共享数据，这就是会话跟踪技术。

例如在一个会话中的请求如下：●请求银行主页；●请求登录（请求参数是用户名和密码）；●请求转账（请求参数与转账相关的数据）；●请求信誉卡还款（请求参数与还款相关的数据）。

在这上会话中当前用户信息必须在这个会话中共享的，因为登录的是张三，那么在转账和还款时一定是相对张三的转账和还款！这就说明我们必须在一个会话过程中有共享数据的能力。

2会话路径技术使用Cookie或session完成我们知道HTTP协议是无状态协议，也就是说每个请求都是独立的！无法记录前一次请求的状态。

但HTTP协议中可以使用Cookie来完成会话跟踪！在JavaWeb中，使用session来完成会话跟踪，session底层依赖Cookie技术。

Cookie1Cookie概述1.1什么叫CookieCookie翻译成中文是小甜点，小饼干的意思。

在HTTP中它表示服务器送给客户端浏览器的小甜点。

其实Cookie就是一个键和一个值构成的，随着服务器端的响应发送给客户端浏览器。

然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。

Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。

客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。

当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！1.2Cookie规范●Cookie大小上限为4KB；●一个服务器最多在客户端浏览器上保存20个Cookie；●一个浏览器最多保存300个Cookie；上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！注意，不同浏览器之间是不共享Cookie的。

D. 浏览器可以接受任意多个Cookie信息保存任意长的时间4.下面选项中合法的EL表达式是（）。

A. ${}B. ${empty requestScope}C. ${"aaa"+"bbb"}D. ${header["user-agent"]}5.下面选项, 关于ResultSet中游标指向的描述正确的是（）。

A. ResultSet对象初始化时, 游标在表格的第一行B. ResultSet对象初始化时, 游标在表格的第一行之前C. ResultSet对象初始化时, 游标在表格的最后一行之前D．ResultSet对象初始化时, 游标在表格的最后一行6.ServletFileUpload类的parseRequest()方法的返回值类型是（）。

A. FileItem[]B. Set<FileItem>C. List<FileItem>D. Map<FileItem>7、传智书城项目在下面（）表中设置了联合主键。

A. user表B. products表D．C. orders表E．orderitem表8、关于传智书城后台订单删除说法, 错误的是（）A: 删除操作只删除了订单表中的相应订单。

B: 当某个订单被删除后, 订单项中的数据会为Null。

C：因为代码删除操作时使用了异常处理, 如果订单项或者订单有一个删除失败了, 则会进行异常处理, 不会对其他数据有影响。

D: 因为代码删除操作时开启了事务处理, 如果订单项或者订单有一个删除失败了, 事务将回滚。

二、判断题（认为正确则打“√”, 否则打“×”。

每小题1分, 共14分）1.在HTTP响应消息中, 第一行为响应状态行, 紧接着的是若干响应消息头, 服务器端通过响应消息头向客户端传递附加信息。

（对）2.使用RequestDispatcher对象的include()方法实现请求包含后, 浏览器显示的URL会发生变化。

什么是cookie,作⽤是什么？以及session的理解cookie: 1.定义:什么是cookie? cookie就是存储在客户端的⼀⼩段⽂本 2.cookie是⼀门客户端的技术,因为cookie是存储在客户端浏览器中的 3.cookie的作⽤:是为了实现客户端与服务器之间状态的保持 4.cookie 技术不安全,不要使⽤cookie保存敏感信息 5.cookie默认在浏览器关闭之后,就⽴即实现失效.如果想指定cookie的过期时间,需要通过使⽤expires属性实现.在服务器响应返回响应头时 写⼊cookie的过期时间. 即响应头设置 set-cookie:[expires=new.Date(Date.now() +10 *1000)] 10S后过期原理:由于http协议是⽆状态的.传统服务器只能被动响应请求.当服务器获取到请求,并为了能够区分每⼀个客户端,需要客户端发送请求时发送⼀个标识符(cookie),也因此为了提供这个标识符,产⽣了cookie技术.我们在请求头(Request Headers)中添加了标识符(cookie). 每次发送请求,都会把这个cookie随同其它报⽂⼀起发送给服务器.服务器根据报⽂中cookie,进⾏区分客户端浏览器. 如何设置表⽰符: 在node中可以在writeHeaer的时候通过Set-Cookie来将表⽰通过响应报⽂发送给客户端 , 或客户端通过插件 jquery.cookiesession: 由于http⽆状态,服务器在每次连接中持续保存客户端的私有数据,此时需要结合cookie技术,通过session会话机制,在服务器端保存每⼀个http请求的私有数据原理: 在服务器内存开辟⼀块内存空间,专门存放每个客户端私有数据,每个客户端根据cookie中保存的私有sessionId,可以获取到独属于⾃⼰的session数据. session在node中使⽤:1. 安装session模块npm install express-session -S2. 导⼊session模块var session = require('express-session')3. 在express中使⽤session中间件：// 启⽤ session 中间件e(session({secret: 'keyboard cat', // 相当于是⼀个加密密钥，值可以是任意字符串resave: false, // 强制session保存到session store中saveUninitialized: false // 强制没有“初始化”的session保存到storage中}))4. 将私有数据保存到当前请求的session会话中：// 将登录的⽤户保存到session中er = result.dataValues;// 设置是否登录为truereq.session.islogin = true;5. 通过destroy()⽅法清空session数据：req.session.destroy(function(err){if(err) throw err;console.log('⽤户退出成功！');// 实现服务器端的跳转，这个对⽐于客户端跳转res.redirect('/');});。

Cookie验证方法和Session验证方法引言随着互联网的快速发展，用户对于网站的安全性和隐私保护越来越关注。

在网站开发中，为了保护用户的数据和提供更好的用户体验，开发人员常常需要使用身份认证方法来验证用户身份。

本文将介绍两种常见的身份验证方法：Co ok ie验证和Se ss io n验证，以及它们的优缺点和使用场景。

1. Co okie验证方法C o ok ie验证方法是通过在用户的浏览器中存储一个唯一标识符来验证用户身份的一种方式。

具体实现步骤如下：1.服务器生成一个包含唯一标识符的Co o ki e，并在HT TP响应中将其发送给用户浏览器。

2.浏览器接收到Co ok i e后，将其存储在本地的C oo ki e文件中。

3.用户再次访问该网站时，浏览器会自动将存储在本地的Co o ki e添加到HT TP请求头中发送给服务器。

4.服务器接收到请求后，解析C oo ki e中的唯一标识符，通过与保存的用户信息进行对比来验证用户身份。

1.1优点-简单易实现：使用C o ok ie验证方法并不需要复杂的技术支持，只需在服务器端生成和解析C oo ki e即可。

-跨平台性好：由于C o ok i e存储在浏览器中，因此可以在不同的操作系统和设备上进行跨平台使用。

1.2缺点-安全性相对较低：C o ok ie中包含了用户的身份信息，如果存储在浏览器中的Co ok ie被劫持，可能会导致身份泄露或伪造。

-可被禁用：用户可以手动禁用浏览器的C oo ki e功能，从而无法进行正常的身份验证。

1.3使用场景-轻量级应用：对于一些对安全性要求不高的简单网站或应用，可以使用C oo ki e验证方法实现用户身份验证。

-可信任环境：在内部网络或受限环境下，可以使用C oo ki e验证方法作为便捷的身份验证方式。

2.S e s s i o n验证方法S e ss io n验证方法是通过在服务器端存储用户信息来验证用户身份的一种方式。

java中session工作原理
Java中的session是用来追踪和管理Web应用程序用户会话的
一种机制。

它的工作原理如下：
1. 客户端发起请求：当客户端在浏览器中访问一个Web应用
程序时，服务器会为该客户端创建一个唯一的会话标识，并将该标识通过HTTP响应的Cookie或URL重定向的方式发送给
客户端。

2. 会话建立：当客户端再次发送请求时，会将会话标识发送给服务器。

服务器通过该会话标识找到对应的会话对象。

3. 会话对象创建：如果服务器接收到的会话标识在服务器端不存在对应的会话对象，服务器将创建一个新的会话对象，并为其分配一个唯一的会话标识。

4. 会话数据存储：服务器使用会话标识作为键，将会话数据存储在内存或持久化存储介质（如数据库）中。

会话数据可以是任何Java对象。

5. 会话追踪：服务器在处理客户端请求时，可以通过获取会话标识，从会话数据存储中获取该会话标识对应的会话对象，并对会话对象进行读取、更新或删除等操作。

6. 会话超时：会话有一个预定义的超时时间。

如果客户端在超过该时间段内没有发送新的请求，服务器将认为该会话已过期，并将其从会话数据存储中删除。

7. 会话失效：当客户端关闭浏览器或手动注销时，会话将被销毁，对应的会话对象也将被删除。

通过session机制，Java能够在无状态的HTTP协议上实现有状态的会话管理，方便进行用户身份验证、数据交互和状态维护等操作。

cookie,session,token的原理Cookie、Session和Token是在Web开发中常用的认证机制，用于管理用户的身份验证和访问控制。

本文将分别介绍这三种认证机制的原理和使用方式。

一、Cookie的原理Cookie是一种存储在用户浏览器中的小型文本文件，用于跟踪和存储用户的信息。

当用户访问一个网站时，网站会将一个包含用户信息的Cookie 发送到用户的浏览器，并存储在用户的计算机中。

下次用户访问该网站时，浏览器会将Cookie发送回服务器，从而实现身份识别和个性化服务。

1. 创建Cookie：服务器通过响应头中的Set-Cookie字段来创建Cookie。

该字段指定Cookie的名称、值、域、路径、过期时间等信息。

2. 存储Cookie：浏览器接收到Cookie后，会将其存储在本地计算机的Cookie存储区域。

当用户再次访问网站时，浏览器会自动将关联的Cookie发送到服务器。

3. 传送Cookie：浏览器在向服务器发送HTTP请求时，会自动将与当前网站相关的Cookie 信息一同发送过去，以便服务器使用。

4. 服务器读取Cookie：服务器通过读取HTTP请求头中的Cookie字段，可以获取到与请求相关的所有Cookie信息。

5. 使用Cookie：服务器可以根据Cookie中的信息来判断用户的身份、个性化服务等。

例如，根据用户登录的Cookie判断用户是否已登录。

6. 更新Cookie：服务器可以通过响应头中的Set-Cookie字段来更新Cookie的值、过期时间等信息。

7. 删除Cookie：服务器可以通过响应头中的Set-Cookie字段将Cookie的过期时间设置为一个过去的时间点，从而实现删除Cookie的效果。

二、Session的原理Session是一种服务器端的用户状态管理机制，用于存储用户的会话信息。

与Cookie类似，Session也可以用于身份识别和个性化服务。

Javaweb重要知识点总结（三）Cookie和Session1. Cookie 和Session 的区别Cookie 是web 服务器发送给浏览器的一块信息，浏览器会在本地一个文件中给每个web 服务器存储cookie。

以后浏览器再给特定的web 服务器发送请求时，同时会发送所有为该服务器存储的cookie。

Session 是存储在 web 服务器端的一块信息。

session 对象存储特定用户会话所需的属性及配置信息。

当用户在应用程序的 Web 页之间跳转时，存储在Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。

Cookie和session的不同点：1、无论客户端做怎样的设置，session 都能够正常工作。

当客户端禁用 cookie 时将无法使用 cookie。

2、在存储的数据量方面：session 能够存储任意的java 对象，cookie 只能存储 String 类型的对象。

2. session 共享怎么做的（分布式如何实现 session 共享）？问题描述：一个用户在登录成功以后会把用户信息存储在 session 当中，这时 session 所在服务器为 server1，那么用户在 session 失效之前如果再次使用app，那么可能会被路由到server2，这时问题来了，server 没有该用户的session，所以需要用户重新登录，这时的用户体验会非常不好，所以我们想如何实现多台server 之间共享session，让用户状态得以保存。

1、服务器实现的 session 复制或 session 共享，这种类型的共享session 是和服务器紧密相关的，比如 webSphere 或 JBOSS 在搭建集群时候可以配置实现session 复制或session 共享，但是这种方式有一个致命的缺点，就是不好扩展和移植，比如我们更换服务器，那么就要修改服务器配置。

2、利用成熟的技术做session 复制，比如12306 使用的gemfire，比如常见的内存数据库如redis 或memorycache，这类方案虽然比较普适，但是严重依赖于第三方，这样当第三方服务器出现问题的时候，那么将是应用的灾难。

Java使用cookie和session当某个用户发出页面请求时，WEB服务器只是简单的进行响应，然后就关闭与该用户的连接，请求的相关数据将不再存在，这样明显有不好的地方。

cookie和session解决了这一问题，客户端(一般是浏览器)与服务器之间的交互，将操作所涉及的数据记录下来，保存在cookie（保存在浏览器客户端）或者session（保存在服务器）中。

一、cookie1、什么是cookie浏览器在访问服务器时，服务器将一些数据以 set-cookie 消息头的形式发送给浏览器。

浏览器会将这些数据保存起来。

当浏览器再次访问服务器时，会将这些数据以cookie 消息头的形式发送给服务器。

2、创建 cookiecookie的name不可以重复，和Map集合类似，当有重复的name的时候，会替代。

3、查询cookie4、cookie 保存时的编码问题cookie 的值叧能是ascii 字符，如果是中文，需要将中文转换成 ascii 字符形式。

可以使用 URLEncoder.encode()方法和 URLDecoder.decode()方法来进行这种转换。

5、cookie 的保存时间cookie.setMaxAge(int seconds);//单位为秒⎫ seconds > 0浏览器会将 cookie 以文件的方式保存在硬盘上。

在超过指定的时间以后，会删除该文件。

⎫ seconds < 0默认值，浏览器会将 cookie 保存在内存里面。

叧有当浏览器关闭以后，才会删除。

⎫ seconds = 0立即删除该 Cookie6、删除 cookie比如要删除一个 name 为”username”的 cookie。

Cookie c = new Cookie(“username”,”“);c.setMaxAge(0);cookie.setPath(request.getContextPath());//路径response.addCookie(c);7、cookie 的限制⎫ cookie 可以禁止⎫ cookie 的大小有限制(4k 左右)⎫ cookie 的数量也有限制(浏览器大约能保存 300 个)⎫ cookie 的值叧能是字符串，要考虑编码问题。

javaweb-cookiesessionjava web-cookie session1、cookieCookie 是⼀个保存在客户机中的简单的⽂本⽂件, 这个⽂件与特定的 Web ⽂档关联在⼀起, 保存了该客户机访问这个Web ⽂档时的信息, 当客户机再次访问这个 Web ⽂档时这些信息可供该⽂档使⽤。

由于“Cookie”具有可以保存在客户机上的神奇特性, 因此它可以帮助我们实现记录⽤户个⼈信息的功能, ⽽这⼀切都不必使⽤复杂的CGI等程序。

Cookie是⼀段不超过4KB的⼩型⽂本数据，由⼀个名称（Name）、⼀个值（Value）和其它⼏个⽤于控制Cookie有效期、安全性、使⽤范围的可选属性组成。

下⾯编写CookieServlet测试简单的cookie属性：package com.zx.demo;import jakarta.servlet.ServletException;import jakarta.servlet.http.Cookie;import jakarta.servlet.http.HttpServlet;import jakarta.servlet.http.HttpServletRequest;import jakarta.servlet.http.HttpServletResponse;import java.io.IOException;public class CookieServlet extends HttpServlet {private static final String COOKIE_KEY_COUNT = "COOKIE_KEY_COUNT";@Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//处理中⽂乱码resp.addHeader("content-type", "text/html;charset=utf-8");Cookie cookie = null;Cookie[] cookies = req.getCookies();for (Cookie c : cookies) {if (c.getName().equals(COOKIE_KEY_COUNT)) {cookie = c;}}if (cookie == null) {resp.getWriter().write("没有cookie");cookie = new Cookie(COOKIE_KEY_COUNT, 2 + "");} else {resp.getWriter().write("有cookie：<br/>&nbsp;&nbsp;&nbsp;&nbsp;" + cookie.getValue());}//cookie值-1int cookieValue = Integer.parseInt(cookie.getValue()) - 1;cookie.setValue(cookieValue+"");if (cookieValue <= 0) {//设置有效期为0-清除cookiecookie.setMaxAge(0);}resp.addCookie(cookie);}}配置web.xml，添加cookie servlet：运⾏程序，⾸次启动浏览器时，请求头中没有cookie，Java中会在响应头中设置⼀个值为1的cookie给客户端，下次刷新请求时将在请求header中请求到服务端。

cookie 和session 的区别详解这些都是基础知识，不过有必要做深入了解。

先简单介绍一下。

二者的定义：当你在浏览网站的时候，WEB 服务器会先送一小小资料放在你的计算机上，Cookie 会帮你在网站上所打的文字或是一些选择，都纪录下来。

当下次你再光临同一个网站，WEB 服务器会先看看有没有它上次留下的Cookie 资料，有的话，就会依据Cookie里的内容来判断使用者，送出特定的网页内容给你。

Cookie 的使用很普遍，许多有提供个人化服务的网站，都是利用Cookie来辨认使用者，以方便送出使用者量身定做的内容，像是Web 接口的免费email 网站，都要用到Cookie。

具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。

同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上它还有其他选择。

cookie机制。

正统的cookie分发是通过扩展HTTP协议来实现的，服务器通过在HTTP 的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。

然而纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie。

而cookie的使用是由浏览器按照一定的原则在后台自动发送给服务器的。

浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则把该cookie附在请求资源的HTTP请求头上发送给服务器。

cookie的内容主要包括：名字，值，过期时间，路径和域。

路径与域一起构成cookie的作用范围。

若不设置过期时间，则表示这个cookie的生命期为浏览器会话期间，关闭浏览器窗口，cookie就消失。

这种生命期为浏览器会话期的cookie被称为会话cookie。

会话cookie一般不存储在硬盘上而是保存在内存里，当然这种行为并不是规范规定的。

java web session用法JavaWebSession是JavaWeb应用程序中常用的一种机制，用于跟踪用户在应用程序中的状态。

通过Session，我们可以在多个页面中共享变量和数据，以及实现用户登录状态的保持等功能。

Session的使用非常简单，主要分为以下几个步骤：1. 创建Session对象：在Servlet中，我们可以通过request.getSession()方法来获取Session对象。

如果Session不存在，则会自动创建一个新的Session；否则，返回已经存在的Session。

2. 设置Session属性：使用Session对象的setAttribute方法，可以向Session中添加属性值。

例如：session.setAttribute('username', 'Tom')。

3. 获取Session属性：使用Session对象的getAttribute方法，可以获取Session中的属性值。

例如：String username = (String)session.getAttribute('username')。

4. 销毁Session：Session在一定时间内没有被使用时，会自动过期销毁。

如果需要手动销毁Session，可以调用Session对象的invalidate方法。

Session的使用需要注意以下几点：1. Session数据存储在服务器端，对于大量的Session数据，需要考虑服务器的承载能力。

2. 由于Session数据存储在服务器端，因此需要考虑Session 的安全性，避免Session被篡改或者被盗用。

3. Session对于浏览器的Cookie支持是必须的，因此如果浏览器禁用了Cookie，则Session将无法使用。

总之，Session是Java Web应用程序中非常重要的一种机制，可以帮助我们实现用户状态跟踪、数据共享等功能。

一文读懂cookie、session和token发展史：1、很久很久以前，Web 基本上就是文档的浏览而已，既然是浏览，作为服务器，不需要记录谁在某一段时间里都浏览了什么文档，每次请求都是一个新的协议，就是请求加响应，尤其是我不用记住是谁刚刚发了请求，每个请求对我来说都是全新的。

这段时间很嗨皮。

2、但是随着交互式Web应用的兴起，像在线购物网站，需要登录的网站等等，马上就面临一个问题，那就是要管理会话，必须记住哪些人登录系统，哪些人往自己的购物车中放商品，也就是说我必须把每个人区分开，这就是一个不小的挑战，因为请求是无状态的，所以想出的办法就是给大家发一个会话标识(session id), 说白了就是一个随机的字串，每个人收到的都不一样，每次大家向我发起请求的时候，把这个字符串给一并捎过来，这样我就能区分开谁是谁了3、这样大家很嗨皮了，可是服务器就不嗨皮了，每个人只需要保存自己的session id，而服务器要保存所有人的session id ！如果访问服务器多了，就得由成千上万，甚至几十万个。

这对服务器说是一个巨大的开销，严重的限制了服务器扩展能力，比如说我用两个机器组成了一个集群，小F通过机器A 登录了系统，那session id会保存在机器A上，假设小F的下一次请求被转发到机器B怎么办？机器B可没有小F的session id啊。

有时候会采用一点小伎俩：session sticky，就是让小F的请求一直粘连在机器A上，但是这也不管用，要是机器A挂掉了，还得转到机器B去。

那只好做session 的复制了，把session id 在两个机器之间搬来搬去，快累死了。

后来有个叫Memcached的支了招：把session id 集中存储到一个地方，所有的机器都来访问这个地方的数据，这样一来，就不用复制了，但是增加了单点失败的可能性，要是那个负责session 的机器挂了，所有人都得重新登录一遍，估计得被人骂死。