【面試題】Cookie&Session

什麼是Cookie

Cookie實際上是一小段的文字資訊。客戶端請求伺服器，如果伺服器需要記錄該使用者的狀態，就使用response向客戶端瀏覽器辦法一個cookie。客戶端瀏覽器會把cookie儲存起來。當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給伺服器，伺服器檢查該cookie，以此來辨認使用者狀態，伺服器還可以根據需要修改cookie的內容。
Cookie機制
在程式中，會話跟蹤是很重要的事情。理論上，一個使用者的所有請求操作都應該屬於同一個會話，而另一個使用者的所有請求操作則應該屬於另一個會話，二者不能混淆。例如，使用者A在超市購買的任何商品都應該放在A的購物車內，不論是使用者A什麼時間購買的，這都是屬於同一個會話的，不能放入使用者B或使用者C的購物車內，這不屬於同一個會話。而web應用程式是使用HTTP協議傳輸資料的，HTTP協議是無狀態的協議。一旦資料交換完畢，客戶端與伺服器端的連線就會關閉，再次交換資料需要建立新的連線，這就意味著伺服器無法從連線上跟蹤會話，即使用者A購買了一件商品放入購物車內，當再次購買商品時伺服器已經無法判斷該購買行為是屬於使用者A的會話還是使用者B的會話了，要跟蹤該會話，必須引入一種機制，Cookie就是這樣的一種機制，它可以彌補HTTP協議無狀態的不足，在Session出現之前，基本上所有的網站都採用Cookie來跟蹤會話。
什麼是Session

Session是另一種記錄客戶狀態的機制，不同的是Cookie儲存在客戶端瀏覽器中，而Session儲存在伺服器上。客戶端瀏覽器訪問伺服器的時候，伺服器把客戶端資訊以某種形式記錄在伺服器上，這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查詢該客戶的狀態就可以了。如果說Cookie機制是通過檢查客戶身上的通行證來確定客戶身份的話，那麼Session機制就是通過檢查伺服器上的客戶明細表來確認客戶身份。Session相當於程式在伺服器上建立的一份客戶檔案，客戶來訪的時候只需要查詢客戶檔案表就可以了。

Session機制

除了使用Cookie，web應用程式中還經常使用Session來記錄客戶端狀態。Session是伺服器端使用的一種記錄客戶端狀態的機制，使用上比Cookie簡單一些，相應的也增加了伺服器的儲存壓力。
如何利用Cookie實現自動登入

當用戶在某個網站註冊後就會收到一個唯一使用者ID的Cookie.客戶後來重新連線時，這個使用者ID會自動返回，伺服器對它進行檢查，確定它是否為註冊使用者且選擇了自動登入，從而使使用者無需給出明確的使用者名稱和密碼，就可以訪問伺服器上的資源。

儲存Session id有幾種方法

儲存session id的方式可以採用cookie,這樣在互動過程中瀏覽器可以自動地按照規則把這個標識傳送給伺服器。

由於cookie可以被人為禁止，必須有其他的機制以便在cookie被禁止的時候仍然能夠把Session id傳遞會伺服器，經常採用的一種技術叫做URL重寫，就是把session id附加在URL路徑的後面，附加的方式也有兩種，一種是作為URL路徑的附加資訊，另一種是作為查詢字串附加在URL後面。網路在整個互動過程張總始終保持狀態，就必須在每個客戶端可能請求的路徑後面都包含這個session id。

另一種技術叫做表單隱藏欄位。就是伺服器會自動修改表單，新增一個隱藏欄位，以便在表單提交時能夠把session id傳遞迴伺服器。

session什麼時候被建立

一個常見的錯誤就是以為session在有客戶端訪問時就被建立，然而事實是直到某server端程式（如servlet）呼叫HttpServletRequest.getSession(true)這樣的語句時才會被建立。

Session什麼時候被刪除

程式呼叫HttpSession.invalidate()。

距離上一次收到客戶端傳送的session id時間間隔超過了session的最大有效時間。

伺服器程序被停止。

注意：關閉瀏覽器只會使儲存在客戶端瀏覽器記憶體中的session cookie失效，不會使伺服器端的session物件失效。

cookie機制和session機制的區別

具體來說cookie機制採用的是在客戶端保持狀態的方案，而session機制採用的是在伺服器端保持狀態的方案。同時我們也看到，由於在伺服器端保持狀態的方案在客戶端也需要儲存一個標識，所以session機制可能需要藉助於cookie機制來達到儲存標識的目的，但實際上還有其他選擇。