Cookie和会话状态session的工作原理

解读session

session是一种保存上下文信息的机制，它是针对每一个用户的，变量的值保存在服务器端，通过SessionID来区分不同的客户，session是以Cookie或URL重写为基础。默认使用Cookie来实现，系统会创造一个名为JSESSIONID的输出Cookie，或称为"Session Cookie"，以区别Persistent Cookies(通常所说的Cookie).Session Cookie是存储在浏览器中，并不是写在硬盘上的，但是把浏览器的Cookie禁止后，使用response对象的encodeURL或encodeRedirectURL方法编码URL，WEB服务器会采URL重写的方式传递Sessionid，用户就可以在地址栏看到jsessionid=A09JHGHKHU68624309UTY84932之类的字符串。

通常Session Cookie是不能跨窗口使用，当用户新开了一个浏览器进入相同的页面时，系统会赋予用户一个新的SessionID，这样信息共享的目的就达不到，此时可以把SessionID保存在Persistent Cookie中，然后再新的窗口中读出来，就可以得到上一个窗口的SessionID了，这样通过Session Cookie和Persistent Cookie的结合，实现了跨窗口的会话跟踪。

session的工作原理
就session的实现而言，好像是这样的：
(1)当有Session启动时，服务器生成一个唯一值，称为SessionID（好像是通过取进程ID的方式取得的）。
(2)然后，服务器开辟一块内存，对应于该SessionID。
(3)服务器再将该SessionID写入浏览器的cookie(一些在网页的源代码中有所体现)。
(4)服务器内有一进程，监视所有Session的活动状况，如果有Session超时或是主动关闭，服务器就释放该内存块。
(5)当浏览器连入IIS(服务器)时并请求的ASP(脚本语言)内用到Session时，IIS(服务器)就读浏览器Cookie中的SessionID。
(6)然后，服务检查该SessionID所对应的内存是否有效。
(7)如果有效，就读出内存中的值。
(8)如果无效，就建立新的Session。

注意：
(1)在大浏览量的网站，Session并不保险，我们过去的网站就经常碰到存在Session中得值不正确(可能出现重复的Session ID)。
(2)Session ID不能从硬盘上的Cookie文件获得，如果想在客户端获知自己的Session ID，只能通过JavaScript来读取。

Cookie和会话状态
做BS开发，这两个概念必不可少，先来个大概了解，没有实际应用很难深入，深入看参考地址！
什么是 Cookie？
Cookie 是一小段文本信息，伴随着用户请求和页面在 Web 服务器和浏览器之间传递。用户每次访问站点时，Web 应用程序都可以读取 Cookie 包含的信息。 Cookie 的基本工作原理如果用户再次访问站点上的页面，当该用户输入 URL www.****.com 时，浏览器就会在本地硬盘上查找与该 URL 相关联的 Cookie。如果该 Cookie 存在，浏览器就将它与页面请求一起发送到您的站点。

Cookie 有哪些用途?
最根本的用途是:Cookie 能够帮助 Web 站点保存有关访问者的信息。更概括地说，Cookie 是一种保持Web 应用程序连续性（即执行“状态管理”）的方法.使 Web 站点记住您.

什么是会话Session？
当用户访问您的站点时，服务器会为该用户创建唯一的会话，会话将一直延续到用户访问结束。

session是不可以的.因为浏览器关闭,电脑关机等因素,session都会自动消失.
而cookie就不会,cookie会在你的电脑上保存一个文件.在没过期之前.都有在.
所以.cookie可以做两周之内自动登录.session基本不行

cookie 有长度限制

在我们公司合作的用户好多投诉，好多登录出现问题，上不去，登录了就出来，但是我在我这里试是正常的，后来发现和浏览器有关系。原来是合作的公司向浏览器写入了大量 cookie，结果导致 cookie 数量超过浏览器限制，而把以前我们公司存在的记录在 cookie 里的登录信息给“挤掉”了，导致退出登录。
   
一、浏览器允许每个域名所包含的 cookie 数：
Microsoft 指出 Internet Explorer 8 增加 cookie 限制为每个域名 50 个，但 IE7 似乎也允许每个域名 50 个 cookie（《Update to Internet Explorer’s Cookie Jar》）。
Firefox 每个域名 cookie 限制为 50 个。
Opera 每个域名 cookie 限制为 30 个。
Safari/WebKit 貌似没有 cookie 限制。但是如果 cookie 很多，则会使 header 大小超过服务器的处理的限制，会导致错误发生。
注：“每个域名 cookie 限制为 20 个”将不再正确！
二、当很多的 cookie 被设置，浏览器如何去响应。除 Safari（可以设置全部cookie，不管数量多少），有两个方法：
最少最近使用（least recently used (LRU)）的方法：当 Cookie 已达到限额，自动踢除最老的 Cookie ，以使给最新的 Cookie 一些空间。 Internet Explorer 和 Opera 使用此方法。
Firefox 很独特：虽然最后的设置的 Cookie 始终保留，但似乎随机决定哪些 cookie 被保留。似乎没有任何计划（建议：在 Firefox 中不要超过 Cookie 限制）。
三、不同浏览器间 cookie 总大小也不同：
Firefox 和 Safari 允许 cookie 多达 4097 个字节, 包括名（name）、值（value）和等号。
Opera 允许 cookie 多达 4096 个字节, 包括：名（name）、值（value）和等号。
Internet Explorer 允许 cookie 多达 4095 个字节, 包括：名（name）、值（value）和等号。
注：多字节字符计算为两个字节。在所有浏览器中，任何 cookie 大小超过限制都被忽略，且永远不会被设置