1、首先,Cookie与Session存在的目的是什么?
答:二者都是为了保持客户端访问用户与后台服务器的交互状态,之所以为了保持这种状态,一是为了方便一些业务的实现,另一方面就是为了简化后台服务端的程序设计,提高性能。
2、如何理解Cookie?
答:我理解的Cookie,就是服务器端用来区分访问用户的,一个用户发出HTTP请求,服务端判断这个用户是不是第一次访问,如果是新用户,那么就得先登记,然后把这个用户的一些信息用Key-Value键值对的形式保存起来,通过HTTP响应让用户带回客户端,让用户保存着,下次访问时,捎带着把信息也带过来,一看是老熟人,后台就不用登记直接处理业务了,方便而有效率。
3、如何理解Session?
答:Cookie是保存在客户端的,而客户端保存Cookie是有数量和大小限制的,那我们就想,服务器端信息是可以保存很多很多的,这就有了Session。
我们在新客户访问时,就可以把信息登记然后保存在服务器,给用户一个唯一的信息标识就好了(一般是一个NAME为JSESSIONID的Cookie),下次用户访问的时候,只需要出示信息标识,后台就可以把他其他信息全部取出来(也就是把Session取出来),然后进行业务就好,防止了信息的篡改丢失等问题,而且没有容量限制。
4、Session如何基于Cookie工作?
答:刚刚说道对Session的理解时,提到一个Session的标识(一般是一个NAME为JSESSIONID的Cookie),这个标识一般是用Cookie保存在客户端用来维持Session的,但这是Cookie允许被使用的情况,如果Cookie被禁用,将会默认使用URL Parameter实现。
具体实现流程:
a、客户端第一次发出请求,因为服务端并不知道Cookie是否可用,所以服务端准备一个测试用的NAME为JSESSIONID的Cookie作为客户Session的标识,并将HTTP响应中的URL参数改写,在尾部加上JSESSIONID,返回响应。
b、客户端再次发出请求时,就会包含Cookie是否可用的信息,如果可用,则优先使用Cookie保存JSESSIONID,并会覆盖URL中的ID,如不可用,就用URL Parameter改写的方式实现JSESSIONID的传递,以维持Session。
c、当浏览器关闭或Session过期后,Cookie也就失效了。
5、如何配置SessionCookieName?
答:默认的SessionCookieName就是JSESSIONID,我们可以在web.xml中配置session-config项,其中cookie-config下的name属性就是这个SessionCookieName,可以由用户自己定义。
6、Session如何工作?
答:在通过问题4中的方法获得Session标识后,就可以通过request.getSession()获得HttpSession对象了,如果这个Session标识没有对应HttpSession时,那么就创建一个新的。
那么由谁管理HttpSession对象?
表面上,所有的HttpSession就会被加入到org.apache.catalina.Manager的sessions容器中保存,这个Manager类会管理所有Session的生命周期。Session过期了会被回收。
更具体的是,StandardManager是Manager的实现类,对应的,StandardSession是HttpSession的实现类;StandardManager类负责Servlet容器中所有StandardSession对象的生命周期的管理。
如果Session没有过期,而服务器关闭了,Session还会存在吗?
只要是正常关闭服务器,在关闭之前,StandardManager会把所有没有过期的StandardSession持久化到一个名为“SESSION.ser”的文件中,当Servlet重启时,StandardManager初始化,会重新读取这个文件解析出所有Session对象,重新保存在StandardManager中的sessions集合中,session恢复。
但是,当非正常关闭服务器时,是没有时间持久化Session的,就会导致Session丢失。
7、Cookie与Session有何缺陷?
任何事情都有两面性,他们的存在也带来了一些挑战,如Cookie的容量问题(大小、数量限制)、安全问题(易被篡改)、Session的服务器共享问题。