關(guān)于Cookie和Session實現(xiàn)用戶免登錄的疑問？

cookie是由瀏覽器維護的, session是由服務(wù)器維護的. 兩者之間并沒有絕對的關(guān)系, 只是一般情況下服務(wù)器使用cookie維持session而已.

至于時效問題:

• 會話cookie是在瀏覽器關(guān)閉時(或者下次啟動時)刪除的, 所以只要瀏覽器不關(guān)閉, 會話cookie就不會失效.
• session則是超過一定時間不讀取/設(shè)置就會過期.

可以發(fā)現(xiàn)兩者并不同步, 那么為什么實際上感覺不到呢? 因為首先不重啟瀏覽器, 不手動刪除cookie, 那么會話cookie就不會失效, 而大多數(shù)用戶又不會登陸一個網(wǎng)站以后幾個小時不操作(直播類/視頻類網(wǎng)站即使用戶不操作, 也會有網(wǎng)絡(luò)請求, 后臺即可自動續(xù)期), 所以session也可以維持住.
你可以試下這種操作:

• 登陸一個網(wǎng)站(不要選擇自動登陸), 然后重啟瀏覽器, 再訪問這個網(wǎng)站, 這時應(yīng)該就會出現(xiàn)登陸頁.
• 登陸一個網(wǎng)站(比如某個論壇, 不要選擇自動登陸), 然后兩個小時不點擊這個頁面, 不關(guān)閉瀏覽器, 之后看看再操作是不是會需要重登錄.

至于七天免登陸, 一般是把用戶的一些信息加鹽hash, 然后記錄到數(shù)據(jù)庫, 并且設(shè)置一個新的cookie, 七天失效. 當(dāng)用戶訪問網(wǎng)站時, 如果沒登陸, 則認證這個cookie是不是正確, 正確就會自動登陸, 從用戶看來, 就是免登陸.

我理解的是，cookie中的jsessionid 存儲的是sessionId ， 服務(wù)器需要根據(jù)這個Id檢索session
Tomcat的默認是用ConcurrentHashMap實現(xiàn)的

protected Map<String, Object> attributes = new ConcurrentHashMap<String, Object>();

1. jsessionid沒了 ，需要重新登陸獲取新的 jsessionid

2.session的銷毀時間到了，根據(jù)sessionId 取不到session，是否重新創(chuàng)建新的session看配置

javax.servlet.http.HttpServletRequest.getSession(boolean create)

3.session機制中，jsessionid的生命周期就是在瀏覽器關(guān)閉前

4.免登陸，可以將用戶名和密碼加密后通過Cookie存放在客戶端，當(dāng)服務(wù)端上的Session銷毀后，使用Cookie里面存放的信息重新執(zhí)行一次登錄操作，重建Session，并更新客戶端上Cookie中存放的的Session ID