JavaWeb第四讲 会话跟踪技术HttpSession、Cookie、url、隐藏表单域

会话跟踪技术Session、Cookie、url、隐藏表单域

（一）Session

1. session是保存在服务器端，理论上是没有是没有限制，只要你的内存够大。
2. 浏览器第一次访问服务器时会创建一个session对象并返回一个名为JSESSIONID=ID的值， 创建一个Cookie对象key为JSSIONID，value为ID的值，将这个Cookie写回浏览器。
3. 浏览器在第二次访问服务器的时候携带Cookie信息JSESSIONID=ID的值，如果该JSESSIONID的session已经销毁，那么会重新创建一个新的session再返回一个新的JSESSIONID通过Cookie返回到浏览器。
4. 针对一个web项目，一个浏览器是共享一个session，就算有两个web项目部署在同一个服务器上，针对两个项目的session是不同的。举例说明： 你在tomcat上同时部署了两个web项目，分别是web1、web2。当你在一个浏览器上同时访问web1时创建的session是A1，访问web2时创建的session是A2。 后面你再多次访问web1使用的session还是A1,多次访问web2时使用session就是A2
5. session是基于Cookie技术实现，重启浏览器后再次访问原有的连接依然会创建一个新的session，因为Cookie在关闭浏览器后就会消失，但是原来服务器的Session还在，只有等到了销毁的时间会自动销毁。
6. 如果浏览器端禁用了Cookie，那么每次访问都会创建一个新的Session，但是我们可以通过服务器端程序重写URL即可，如果页面多连接多，会增加不必要的工作量。

（二）Cookie

1. Cookie和Session都是会话技术，Cookie是运行在客户端，Session是运行在服务器端。
2. Cookie有大小限制以及浏览器在存cookie的个数也有限制，Session是没有大小限制和服务器的内存大小有关。
3. Cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行攻击。
4. Session是保存在服务器端上会存在一段时间才会消失，如果session过多会增加服务器的压力。

（三）url

使用url实现会话跟踪技术 : 在URL中添加用户会话的信息作为请求的参数，或者将唯一的会话ID添加到URL结尾以标识一个会话。

优点： 在Cookie被禁用的时候依然可以使用。 缺点： 必须对网站的URL进行编码，所有页面必须动态生成，不能用预先记录下来的URL进行访问。

(四) 隐藏表单域

<form action="url" method="post>
	<input type="hidden" name ="parameter1" value="value1"/>
	<input type="hidden" name ="parameter2" value="value2"/>
	<input type="hidden" name ="parameter3" value="value3"/>
</form>

优点： Cookie被禁时可以使用

缺点： 所有页面必须是表单提交之后的结果。