在Web开发中，状态管理是核心需求之一。本文将深入讲解Java中Session和Cookie的使用方法，帮助你掌握用户状态管理的核心技术。

一、Session与Cookie基础概念

特性	Session	Cookie
存储位置	服务器内存/持久化存储	客户端浏览器
安全性	较高（敏感数据推荐使用）	较低（可被用户查看修改）
生命周期	会话结束或超时（默认30分钟）	可设置过期时间（浏览器关闭或指定时间）
数据类型	支持Java对象	仅字符串（最大4KB）
主要用途	用户登录状态、购物车等	记住登录、用户偏好设置等

---

二、Cookie操作详解

1. 创建Cookie

// 创建Cookie
Cookie userCookie = new Cookie("username", "john_doe");// 设置有效期（7天）
userCookie.setMaxAge(7 * 24 * 60 * 60); // 设置作用路径（整个应用）
userCookie.setPath("/"); // 启用HTTPS Only（增强安全）
userCookie.setSecure(true);// 防止客户端脚本访问（防XSS）
userCookie.setHttpOnly(true);// 添加到响应
response.addCookie(userCookie);

2. 读取Cookie

// 获取所有Cookie
Cookie[] cookies = request.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {if ("username".equals(cookie.getName())) {String username = cookie.getValue();// 使用cookie值...}}
}

3. 删除Cookie

// 创建同名Cookie
Cookie deleteCookie = new Cookie("username", "");// 设置立即过期
deleteCookie.setMaxAge(0); // 必须匹配原路径
deleteCookie.setPath("/"); response.addCookie(deleteCookie);

三、Session操作详解

1. 获取/创建Session

// 获取现有session或创建新session
HttpSession session = request.getSession();// 检查是否新创建的session
if (session.isNew()) {System.out.println("新会话已创建");
}

2. 存储和获取Session数据

// 存储数据
User user = new User("John", "john@example.com");
session.setAttribute("currentUser", user);// 获取数据
User storedUser = (User) session.getAttribute("currentUser");// 移除数据
session.removeAttribute("currentUser");// 获取所有属性名
Enumeration<String> attrNames = session.getAttributeNames();

3. Session生命周期控制

// 设置超时时间（分钟）
session.setMaxInactiveInterval(15 * 60); // 立即终止会话
session.invalidate(); // 监听器配置（web.xml）
<session-config><session-timeout>30</session-timeout> <!-- 30分钟 -->
</session-config>

四、Session与Cookie协同工作流程

五、登录状态保持实战示例

1. 登录处理Servlet

protected void doPost(HttpServletRequest request, HttpServletResponse response) {String username = request.getParameter("username");String password = request.getParameter("password");if (authenticate(username, password)) {// 创建SessionHttpSession session = request.getSession();session.setAttribute("user", username);// 创建"记住我"Cookieif ("on".equals(request.getParameter("remember"))) {Cookie rememberCookie = new Cookie("rememberUser", username);rememberCookie.setMaxAge(30 * 24 * 60 * 60); // 30天response.addCookie(rememberCookie);}response.sendRedirect("dashboard.jsp");} else {response.sendRedirect("login.jsp?error=1");}
}

2. 登录状态检查过滤器

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;HttpSession session = request.getSession(false);String requestURI = request.getRequestURI();// 排除登录页面和静态资源if (requestURI.endsWith("login.jsp") || requestURI.contains("/assets/")) {chain.doFilter(request, response);return;}// 检查Session登录状态if (session != null && session.getAttribute("user") != null) {chain.doFilter(request, response);} // 检查"记住我"Cookieelse if (checkRememberCookie(request)) {chain.doFilter(request, response);} // 未登录重定向else {response.sendRedirect("login.jsp");}
}

六、安全最佳实践

1. Session安全：

   • 用户登出时调用session.invalidate()

   • 避免在URL中传递Session ID（禁用URL重写）

     <!-- web.xml配置 -->
     <session-config><tracking-mode>COOKIE</tracking-mode>
     </session-config>

2. Cookie安全：

   • 敏感信息永远不要存储在Cookie中

   • 始终设置HttpOnly和Secure属性

     cookie.setHttpOnly(true);
     cookie.setSecure(request.isSecure()); // 根据当前连接启用

   • 防御会话固定攻击：

     // 登录成功后更换Session ID
     request.changeSessionId();

   • 分布式Session管理：

     <!-- 使用Redis存储Session -->
     <dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId>
     </dependency>

七、常见问题解决方案

问题1：浏览器禁用Cookie后Session失效
解决方案：URL重写（慎用）

// 在URL中添加;jsessionid=xxx
String url = response.encodeURL("dashboard.jsp");
out.print("<a href='" + url + "'>Dashboard</a>");

问题2：分布式环境Session共享
解决方案：使用集中存储

• Redis（推荐）：spring-session-data-redis

• 数据库：org.apache.tomcat.session.persist.ManagerBase

问题3：Session超时处理

// 监听Session销毁
public class SessionListener implements HttpSessionListener {@Overridepublic void sessionDestroyed(HttpSessionEvent se) {// 执行清理操作}
}

八、总结与学习资源

核心要点：

1. Session用于存储敏感/重要数据，Cookie用于持久化偏好设置

2. 始终遵循最小权限原则，只存储必要数据

3. 安全性配置（HttpOnly、Secure）必不可少

4. 分布式环境使用集中式Session存储

学习资源：

• Oracle官方Session文档

• RFC 6265 Cookie标准

• OWASP会话管理指南

最佳实践建议：对于新项目，建议使用JWT（JSON Web Tokens）结合HTTP Only Cookie实现现代认证方案，可参考Spring Security的OAuth2支持。

掌握Session和Cookie的使用是Java Web开发的必备技能。建议从简单的登录功能开始实践，逐步扩展到购物车、用户偏好等复杂场景。