在Web開發中，狀態管理是核心需求之一。本文將深入講解Java中Session和Cookie的使用方法，幫助你掌握用戶狀態管理的核心技術。

一、Session與Cookie基礎概念

特性	Session	Cookie
存儲位置	服務器內存/持久化存儲	客戶端瀏覽器
安全性	較高（敏感數據推薦使用）	較低（可被用戶查看修改）
生命周期	會話結束或超時（默認30分鐘）	可設置過期時間（瀏覽器關閉或指定時間）
數據類型	支持Java對象	僅字符串（最大4KB）
主要用途	用戶登錄狀態、購物車等	記住登錄、用戶偏好設置等

---

二、Cookie操作詳解

1. 創建Cookie

// 創建Cookie
Cookie userCookie = new Cookie("username", "john_doe");// 設置有效期（7天）
userCookie.setMaxAge(7 * 24 * 60 * 60); // 設置作用路徑（整個應用）
userCookie.setPath("/"); // 啟用HTTPS Only（增強安全）
userCookie.setSecure(true);// 防止客戶端腳本訪問（防XSS）
userCookie.setHttpOnly(true);// 添加到響應
response.addCookie(userCookie);

2. 讀取Cookie

// 獲取所有Cookie
Cookie[] cookies = request.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {if ("username".equals(cookie.getName())) {String username = cookie.getValue();// 使用cookie值...}}
}

3. 刪除Cookie

// 創建同名Cookie
Cookie deleteCookie = new Cookie("username", "");// 設置立即過期
deleteCookie.setMaxAge(0); // 必須匹配原路徑
deleteCookie.setPath("/"); response.addCookie(deleteCookie);

三、Session操作詳解

1. 獲取/創建Session

// 獲取現有session或創建新session
HttpSession session = request.getSession();// 檢查是否新創建的session
if (session.isNew()) {System.out.println("新會話已創建");
}

2. 存儲和獲取Session數據

// 存儲數據
User user = new User("John", "john@example.com");
session.setAttribute("currentUser", user);// 獲取數據
User storedUser = (User) session.getAttribute("currentUser");// 移除數據
session.removeAttribute("currentUser");// 獲取所有屬性名
Enumeration<String> attrNames = session.getAttributeNames();

3. Session生命周期控制

// 設置超時時間（分鐘）
session.setMaxInactiveInterval(15 * 60); // 立即終止會話
session.invalidate(); // 監聽器配置（web.xml）
<session-config><session-timeout>30</session-timeout> <!-- 30分鐘 -->
</session-config>

四、Session與Cookie協同工作流程

五、登錄狀態保持實戰示例

1. 登錄處理Servlet

protected void doPost(HttpServletRequest request, HttpServletResponse response) {String username = request.getParameter("username");String password = request.getParameter("password");if (authenticate(username, password)) {// 創建SessionHttpSession session = request.getSession();session.setAttribute("user", username);// 創建"記住我"Cookieif ("on".equals(request.getParameter("remember"))) {Cookie rememberCookie = new Cookie("rememberUser", username);rememberCookie.setMaxAge(30 * 24 * 60 * 60); // 30天response.addCookie(rememberCookie);}response.sendRedirect("dashboard.jsp");} else {response.sendRedirect("login.jsp?error=1");}
}

2. 登錄狀態檢查過濾器

public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) {HttpServletRequest request = (HttpServletRequest) req;HttpServletResponse response = (HttpServletResponse) res;HttpSession session = request.getSession(false);String requestURI = request.getRequestURI();// 排除登錄頁面和靜態資源if (requestURI.endsWith("login.jsp") || requestURI.contains("/assets/")) {chain.doFilter(request, response);return;}// 檢查Session登錄狀態if (session != null && session.getAttribute("user") != null) {chain.doFilter(request, response);} // 檢查"記住我"Cookieelse if (checkRememberCookie(request)) {chain.doFilter(request, response);} // 未登錄重定向else {response.sendRedirect("login.jsp");}
}

六、安全最佳實踐

1. Session安全：

   • 用戶登出時調用session.invalidate()

   • 避免在URL中傳遞Session ID（禁用URL重寫）

     <!-- web.xml配置 -->
     <session-config><tracking-mode>COOKIE</tracking-mode>
     </session-config>

2. Cookie安全：

   • 敏感信息永遠不要存儲在Cookie中

   • 始終設置HttpOnly和Secure屬性

     cookie.setHttpOnly(true);
     cookie.setSecure(request.isSecure()); // 根據當前連接啟用

   • 防御會話固定攻擊：

     // 登錄成功后更換Session ID
     request.changeSessionId();

   • 分布式Session管理：

     <!-- 使用Redis存儲Session -->
     <dependency><groupId>org.springframework.session</groupId><artifactId>spring-session-data-redis</artifactId>
     </dependency>

七、常見問題解決方案

問題1：瀏覽器禁用Cookie后Session失效
解決方案：URL重寫（慎用）

// 在URL中添加;jsessionid=xxx
String url = response.encodeURL("dashboard.jsp");
out.print("<a href='" + url + "'>Dashboard</a>");

問題2：分布式環境Session共享
解決方案：使用集中存儲

• Redis（推薦）：spring-session-data-redis

• 數據庫：org.apache.tomcat.session.persist.ManagerBase

問題3：Session超時處理

// 監聽Session銷毀
public class SessionListener implements HttpSessionListener {@Overridepublic void sessionDestroyed(HttpSessionEvent se) {// 執行清理操作}
}

八、總結與學習資源

核心要點：

1. Session用于存儲敏感/重要數據，Cookie用于持久化偏好設置

2. 始終遵循最小權限原則，只存儲必要數據

3. 安全性配置（HttpOnly、Secure）必不可少

4. 分布式環境使用集中式Session存儲

學習資源：

• Oracle官方Session文檔

• RFC 6265 Cookie標準

• OWASP會話管理指南

最佳實踐建議：對于新項目，建議使用JWT（JSON Web Tokens）結合HTTP Only Cookie實現現代認證方案，可參考Spring Security的OAuth2支持。

掌握Session和Cookie的使用是Java Web開發的必備技能。建議從簡單的登錄功能開始實踐，逐步擴展到購物車、用戶偏好等復雜場景。