在讲清楚什么是Cookie和Session之前，我们先来了解什么是会话以及http协议无状态。

无状态的官方解释：

简单理解就是客户端是第二次访问服务器，服务器还是把此次访当做一个新的访问进行处理，因为服务端并不知道客户端之前是否访问过。

为了解决这一问题，Web程序中采用会话跟踪技术，会话跟踪技术就是依靠Cookie和Session实现。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

一次会话：浏览器第一次给服务器资源发送请求，会话建立，直到有一方断开为止。一次会话中包含多次请求和响应。有了会话跟踪可以在一次会话的范围内的多次请求间，共享数据。

客户端会话技术，服务端给客户端的数据，存储于客户端（浏览器）。由于是保存在客户端上的，所以存在安全问题，并且cookie是由个数和大小限制的（4KB），所以一般cookie用来存储一些比较小且安全性要求不高的数据，而且一般数据都会进行加密。

登录时，在服务器端获取到用户名，然后创建一个cookie，将用户名存入cookie中，发送回浏览器端，然后浏览器下次在访问登录页面时，先拿到cookie，将cookie中的信息拿出来，看是否保存了该用户名，如果保存了，那么直接用他，如果没有，则自己手写用户名。

比如购物网站，都会有我们的浏览记录的，实现原理其实也是用cookie技术，每浏览一个商品，就将其存入cookie中，到需要显示浏览记录时，只需要将cookie拿出来遍历即可。　

3.1 servlet创建cookie，保存少量数据，发送浏览器。

3.2 浏览器获得服务器发送的cookie数据，将自动的保存到浏览器端。

3.3 下次访问时，浏览器将自动携带cookie数据发送给服务器。

服务器端会话技术，在一次会话的多次请求间共享数据，将数据保存在服务器端的对象中。HttpSession。

2.1 登陆验证信息。用户的各种私人信息，比如姓名等，某种情况下，需要保存在Session里 需要在页面间传递 的内容信息，比如调查工作需要分好几步。每一步的信息都保存在Session里，最后在统一更 新到数据库。

2.2 Session共享

对于多网站(同一父域不同子域)单服务器，我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(blog.yoodb.com 和daohang.yoodb.com)，而SessionId又分别储存在各自的Cookie中，因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改Cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是子站间的Cookie信息也同时被共享了。

Session的实现是依赖于Cookie的。

Cookie中有JSESSIONID这个字段，实际上首次请求网页时在请求头里是没有这个字段的，因为我们并没有创建session，当我们调用request.getSession()时，此时会创建一个session，并且将sessionId保存到cookie中，然后回写给response，所以我们发现首次创建session时的响应头中有JSESSIONID这个字段，后面的request默认都会带上JSESSIONID这个字段，而response中则不会再有该字段了。而服务器就能够根据JSESSIONID这个字段值查找对应的session。

如果浏览器禁用了cookie，那么，每次请求都会重新创建session，因为服务器没有获取到JSESSIONID这个值，也无法根据JSESSIONID的值查找相应的session，也就是说，如果客户端禁用了cookie，那么session也将失效。如图：

第一次请求：

后续请求：

1. cookie在浏览器中保存多长时间？

默认情况下在浏览器关闭后就会失效。即一次会话后就失效。因为cookie是放在浏览器缓存的,浏览器关闭会清除缓存所以cookie会失效。

要想使这个cookie在浏览器关闭后仍然有效就需要设置有效时间将其写到磁盘下。

持久化存储：

setMaxAge(int seconds) 正数：将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间，时间到后，cookie文件自动失效 负数：默认值 零：删除cookie信息

2. cookie共享问题？

2.1 假设在一个tomcat服务器中，部署了多个web项目，那么在这些web项目中cookie能不能共享？

默认情况下cookie不能共享setPath(String path):设置cookie的获取范围。默认情况下，设置当前的虚拟目录

如果要共享，则可以将path设置为"/" 2.2 不同的tomcat服务器间cookie共享问题？

setDomain(String path):如果设置一级域名相同，那么多个服务器之间cookie可以共享

setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享

3. Cookie的特点和作用

3.1 cookie存储数据在客户端浏览器 3.2 浏览器对于单个cookie 的大小有限制(4kb) 以及 对同一个域名下的总cookie数量也有限制(20个)

3.3 cookie一般用于存出少量的不太敏感的数据，在不登录的情况下，完成服务器对客户端的身份识别

1. session什么时候被销毁？

1.1 服务器关闭.

1.2 session对象调用invalidate() 。

1.3 session默认失效时间 30分钟。

  选择性配置修改                                 30            

2. session的特点 2.1 session用于存储一次会话的多次请求的数据，存在服务器端。

2.2 session可以存储任意类型，任意大小的数据。

3. session与Cookie的区别

3.1 session存储数据在服务器端，Cookie在客户端。

3.2 session没有数据大小限制，Cookie有。

3.3 session数据安全，Cookie相对于不安全。

参考：java之Cookie和Session - china_coding - 博客园