Cookie和Session的作用和工作原理

token和cookie、session的区别
1、session是有服务器⽣成，暂时保存在服务器上对客户端进⾏识别的会话⾝份标识，链接断开则session注销。

2、cookie是储存在客户端上，在于服务器交互的时候⽤于认证的类似于⾝份证的标识，链接断开则服务器上的cookie注销。

3、token是服务器⽣成，⽤于简化服务器进⾏客户端⽤户密码对⽐的根据⽤户信息数据库的密码⽤户名来⽣成的长时间标识（⽤于减轻服务器每次都需要逐个对⽐数据库中⽤户名和密码的负担），储存在服务器上，链接断开，token继续储存在服务器上。

之间的关系：session⼀般是基于cookie⽣成，token可以包含在cookie中，token可以绑定在session中
作⽤：将token绑定在session中，在交互是对⽐token是否为session中的token可避免⼤多数逻辑漏洞以及csrf等。

1、jsp和servlet的区别、共同点、各自应用的范围？？JSP是Servlet技术的扩展，本质上就是Servlet的简易方式。

JSP编译后是“类servlet”。

Servlet和JSP最主要的不同点在于，Servlet的应用逻辑是在Java文件中，并且完全从表示层中的HTML里分离开来。

而JSP的情况是Java和HTML可以组合成一个扩展名为.jsp的文件。

JSP侧重于视图，Servlet主要用于控制逻辑。

在struts框架中,JSP位于MVC设计模式的视图层,而Servlet位于控制层.2、cookie和session的作用、区别、应用范围，session的工作原理Cookie:主要用在保存客户端，其值在客户端与服务端之间传送，不安全，存储的数据量有限。

Session:保存在服务端，每一个session在服务端有一个sessionID作一个标识。

存储的数据量大，安全性高。

占用服务端的内存资源。

3、jstl是什么？优点有哪些？？JSTL（JSP Standard Tag Library，JSP标准标签库)是一个不断完善的开放源代码的JSP标签库，由四个定制标记库（core、format、xml和sql）和一对通用标记库验证器（ScriptFreeTLV和PermittedTaglibsTLV）组成。

优点有：最大程序地提高了WEB应用在各应用服务器在应用程序服务器之间提供了一致的接口，最大程序地提高了1、在应用程序服务器之间提供了一致的接口，之间的移植。

2、简化了JSP和WEB应用程序的开发。

3、以一种统一的方式减少了JSP中的scriptlet代码数量，可以达到没有任何scriptlet 代码的程序。

在我们公司的项目中是不允许有任何的scriptlet代码出现在JSP中。

4、允许JSP设计工具与WEB应用程序开发的进一步集成。

相信不久就会有支持JSTL的IDE 开发工具出现。

4、j2ee的优越性主要表现在哪些方面？MVC模式a、J2EE基于JAVA技术，与平台无关b、J2EE拥有开放标准，许多大型公司实现了对该规范支持的应用服务器。

session的理解session是一种用于在Web应用程序中跟踪用户状态的机制。

在Web开发中，HTTP协议是无状态的，也就是说服务器无法直接区分不同用户的身份，每一次请求都是独立的。

然而，实际上经常需要区分用户身份，跟踪用户状态，记录用户行为等，这就需要使用session。

简单来说，session是在服务器端存储用户相关信息的一种机制。

当用户首次访问网站时，服务器会为该用户创建一个唯一标识的session ID，并将该ID发送到用户的浏览器端。

用户在后续的请求中，浏览器会通过发送Cookie携带session ID，从而让服务器能够识别该用户。

服务器可以根据session ID获取与该用户相关联的信息，并在处理请求时使用这些信息。

session的理解可以从以下几个方面展开：1. 创建和维护session：服务器端负责创建和维护session，通常使用一个唯一标识符来表示session，被称为session ID。

session ID可以通过Cookie发送到客户端，并在后续的请求中被客户端携带。

当用户首次访问网站时，服务器会为该用户创建一个新的session，生成一个唯一的session ID，并将其发送给客户端。

2. session与Cookie的关系：session通常依赖于Cookie来传递session ID。

服务器在响应中设置一个名为"session ID"的Cookie，并将其值设置为当前用户的session ID。

客户端在后续的请求中会自动携带该Cookie，服务器可以通过解析Cookie获取session ID，从而找到对应的session。

3. session存储方式：session数据可以存储在服务器端的内存、文件系统、数据库等不同的存储介质中。

常见的方式包括内存存储、文件存储和数据库存储。

不同的存储方式具有不同的优缺点，根据实际需求选择合适的存储方式。

session、cookie、token的区别及联系sessionsession的中⽂翻译是“会话”，当⽤户打开某个web应⽤时，便与web服务器产⽣⼀次session。

服务器使⽤session把⽤户的信息临时保存在了服务器上，⽤户离开⽹站后session会被销毁。

这种⽤户信息存储⽅式相对cookie来说更安全，可是session有⼀个缺陷：如果web服务器做了负载均衡，那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。

cookiecookie是保存在本地终端的数据。

cookie由服务器⽣成，发送给浏览器，浏览器把cookie以kv形式保存到某个⽬录下的⽂本⽂件内，下⼀次请求同⼀⽹站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加⼊了⼀些限制确保cookie不会被恶意使⽤，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，⼀般设置为全局:"\")、失效时间、安全标志(指定后，cookie 只有在使⽤SSL连接时才发送到服务器(https))。

下⾯是⼀个简单的js使⽤cookie的例⼦:⽤户登录时产⽣cookie:document.cookie = "id="+result.data['id']+"; path=/";document.cookie = "name="+result.data['name']+"; path=/";document.cookie = "avatar="+result.data['avatar']+"; path=/";使⽤到cookie时做如下解析：var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];}$('#user_name').text(user_info[' name']);$('#user_avatar').attr("src", user_info[' avatar']);$('#user_id').val(user_info[' id']);tokentoken的意思是“令牌”，是⽤户⾝份的验证⽅式，最简单的token组成:uid(⽤户唯⼀的⾝份标识)、time(当前时间的时间戳)、sign(签名，由token的前⼏位+盐以哈希算法压缩成⼀定长的⼗六进制字符串，可以防⽌恶意第三⽅拼接token请求服务器)。

cookie面试题一、什么是Cookie面试题Cookie面试题是指在招聘过程中常见的与Cookie相关的问题，用于测试候选人对于Cookie的理解和应用能力。

在一些技术岗位的面试中，经常会出现与Cookie有关的面试题，因为Cookie是Web开发中非常重要的概念之一。

二、Cookie面试题的分类根据Cookie的特性和应用场景，Cookie面试题可以分为以下几类：1. 什么是Cookie？这类问题是对候选人对Cookie基本概念的了解进行考察，通常会涉及Cookie的定义、作用、存储方式等。

2. Cookie的工作原理是什么？这类问题是对候选人对Cookie实现原理的掌握程度进行考察，通常会涉及Cookie的生成、发送、存储和读取过程。

3. Cookie和Session的区别是什么？这类问题是对候选人对Cookie和Session的了解程度进行考察，通常会比较Cookie和Session在存储方式、有效期、安全性等方面的区别。

4. 如何使用Cookie实现用户登录状态的保持？这类问题是对候选人对Cookie在用户登录状态保持方面的应用能力进行考察，通常候选人需要介绍使用Cookie来实现用户登录状态保持的步骤和原理。

5. 如何解决Cookie跨域问题？这类问题是对候选人对Cookie跨域访问限制的理解和解决方案的能力进行考察，通常候选人需要介绍跨域访问限制的原因和解决方案。

三、如何准备Cookie面试题准备Cookie面试题需要注意以下几点：1. 对Cookie的基本概念和工作原理进行充分了解在面试前，候选人应该对Cookie的定义、作用、存储方式、工作原理等基本概念进行充分了解，并能够清楚地表达出来。

2. 理解Cookie与Session的区别Cookie和Session是Web开发中常用的会话管理机制，候选人应该清楚它们的区别并能够简明扼要地解释出来。

3. 掌握Cookie的应用场景和常见问题除了基本概念和工作原理，候选人还应该关注Cookie在实际开发中的应用场景和常见问题，例如如何保证Cookie的安全性、如何处理Cookie过期等。

1.Session由于HTTP协议连接的无状态性，才使得session的不得已而产生。

既然Web应用并不了解有关同一用户以前请求的信息，那么解决这个问题的一个办法是使用Servlet/JSP容器提供的会话跟踪功能，Servlet API规范定义了一个简单的HttpSession接口，通过它我们可以方便地实现会话跟踪。

HttpSession接口提供了存储和返回标准会话属性的方法。

标准会话属性如会话标识符、应用数据等，都以“名字-值”对的形式保存在服务器端。

也就是说，HttpSession接口提供了一种把对象保存到内存、在同一用户的后继请求中提取这些对象的标准办法。

在会话中保存数据的方法是setAttribute(String s, Object o)，从会话提取原来所保存对象的方法是getAttribute(String s)。

在服务器端，每当新用户请求了一个使用HttpSession对象的JSP页面，Servlet、JSP容器除了发回应答页面外，它还要以cookie的形式向浏览器发送一个特殊数字，即“绘画标识符”，它是一个唯一的用户标示符，浏览器在请求session时，服务器会先得到它的sessionId，在做处理。

会话标识符以Cookie的形式在服务器和浏览器组件传送，标准会话属性在服务器端也是以会话的形式存在，并且这个Cookie的生命周期只是临时的，即会话结束后就自动消失，没有为它指定固定的生命周期，因此可以说session是基于Cookie的技术。

另外，如果客户端不支持Cookie，运用URL重写机制来保证会话标识回服务器。

2.session机制的实现：(1.)session机制是一种服务器端的机制，用来在无状态的HTTP协议下越过多个请求页面来维持状态和识别用户。

当程序需要为某个客户端的请求创建一个session的时候，服务器首先检查这个客户端的请求里是否已包含了一个session标识。