一分钟理解Session和Cookie的关系

假设一个场景：在 Session 中保存一个变量，用户每请求一次变量增加 1，然后把最新的值以 HTML 的方式返回给客户端。

我们提供的服务有：成都网站制作、成都网站建设、外贸营销网站建设、微信公众号开发、网站优化、网站认证、应县ssl等。为上1000家企事业单位解决了网站和推广的问题。提供周到的售前咨询和贴心的售后服务，是有科学管理、有技术的应县网站制作公司

用户第一次请求，Web 服务器(或者应用服务器，如 Tomcat)返回数字 1，那么此时 HTTP 传输已经结束，TCP 经历四次挥手，连接关闭。

• 当页面再次刷新时(TCP 重新连接，客户端是新的端口)服务器端是如何知道用户对应的 Session 的?
• 此时关闭浏览器 Session 是否会释放?

众所周知 HTTP 是无状态的协议，它的状态管理机制是后来增补上去的，被记录在rfc6265(HTTP State Management Mechanism)。具体方法很简单：

• 服务器端->客户端增加一个新的返回头部“Set-Cookie”，通过它设置一个 Key/Value 结构的数据;客户端负责保存这个数据。
• 客户端->服务器端增加一个新的请求头部“Cookie”，把保存的 Cookie(Key/Value 结构)提交给服务器端。

这个机制就是 Cookie，Session 机制是建立在 Cookie 机制之上的。对于 JavaEE 而言：

用户请求的业务逻辑中出现 Session 操作，并且本次请求没有 JSESSIONID 的头部被传递过来，服务器端会通过 Set-Cookie 设置上一个新的

当用户再次请求，Cookie 中包含了 JSESSIONID，服务器端会依据此判断出用户所属的 Session

所以回到开始的两个问题：

• 服务器端通过读取 Http 头部 Cookie 部分 JSESSIONID 找到用户所属的 Session
• 关闭浏览器只是 JSESSIONID 这个 Cookie 被删除;服务器端的 Session 不会被删除。删除时间是通过session-timeout配置的

有一种网络攻击方法叫 Cookie/Session 欺骗，比如某管理员用户登录到系统了，如果我们趁他不在电脑旁边的时候把他的 JSESSIONID 复制走;然后打开浏览器访问相同的网址，通过浏览器设置上 JSESSIONID，再次刷新，你会发现已经登录成功了。也就是说服务器端其实只认 JSESSIONID，它甚至无法区分究竟有多少管理员“同时在线”。

【本文是专栏作者“邢森”的原创文章，转载请联系作者本人获取授权】

分享题目：一分钟理解Session和Cookie的关系
链接地址：http://www.shufengxianlan.com/qtweb/news0/499350.html

网站建设、网络推广公司-创新互联，是专注品牌与效果的网站制作，网络营销seo公司；服务项目有等

广告

声明：本网站发布的内容（图片、视频和文字）以用户投稿、用户转载内容为主，如果涉及侵权请尽快告知，我们将会在第一时间删除。文章观点不代表本网站立场，如需处理请联系客服。电话：028-86922220；邮箱：631063699@qq.com。内容未经允许不得转载，或转载时需注明来源： 创新互联