阿里面试题cookie和session的区别及session的生命周期

老师

今天我们看一下阿里实习生面试中遇到的一个基础问题.

cookie和session的区别及session的生命周期

两者的区别

cookie数据存放在客户端，session数据放在服务器上。
cookie不是很安全，别人可以分析存放在本地的Cookie并进行Cookie欺骗考虑到安全应当使用session。
session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能考虑到减轻服务器性能方面，应当使用Cookie。
单个Cookie保存的数据长度不能超过4K，很多浏览器都限制一个网址最多保存20个cookie.(我也不确定这个4k是从哪里来的)。

Session生命周期

Session保存在服务器端，为了获取更高的存取速度，服务器一般会把Session放在内存里面，每个用户都会有一个独立的Session。如果Session里面的内容太过复杂，当大量的用户访问服务器时，可能会导致内存溢出，所以我们的session内容应当适当的精简。当我们第一次访问服务器时，服务器会给我们自动创建一个Session，生成session后，只要用户继续访问，服务器就会更新session的最后访问时间，并且维护这个session。当用户访问服务器一次，无论是否读写了session，服务器都会认定这个session活跃(active)了一次.当越来越多的用户访问我们的服务器时，因此我们的session会越来越多。为了防止内存溢出，服务器会把长时间没有活跃的Session删除。这个时间就是session的超时时间，过了超时时间，我们的session就会自动失效.

一般答案就是上面这些，为了让大家更深刻我们在简单说一下他的原理:

http是无状态的协议，客户每次读取web页面时，服务器都打开新的会话，而且服务器也不会自动维护客户的上下文信息，那么要怎么才能实现网上商店中的购物车呢，session就是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，session是以cookie或URL重写为基础的，默认使用cookie来实现，服务器向客户端浏览器发送一个名为JSESSIONID的Cookie而JSESSIONID的值是SessionID，session就是用SessionID区分不同的客户身份的.

如果客户端浏览器将Cookie功能禁用，或者不支持Cookie怎么办？例如，绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案：URL地址重写。

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(String url)实现URL地址重写，该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie，会将URL原封不动地输出来。如果客户端不支持Cookie，则会将用户Session的id重写到URL中

注意一点

TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie，但是由于第一次请求时不会携带任何Cookie（因为并无任何Cookie可以携带），URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了，因此URL地址重写后的地址中就不会带有jsessionid了。