会话追踪：

会话：用户打开浏览器，访问web中的资源，到关闭浏览器的整个过程。
会话使用：偏好记录，自动登录，浏览记录（原理：客户端或服务端保存用户数据） 
会话跟踪用来跟踪用户的整个会话。常用的会话跟踪技术是cookie和session。

Cookie：会话数据保存在浏览器客户端，是一种key-value形式的数据，通过在客户端记录信息确定用户身份
Session：会话数据保存在服务器端，是一种key-value形式的数据，通过在服务器记录信息确定用户身份

Cookie:

Cookie是一小段文本信息。

Cookie工作原理：客户端浏览器发送Http请求到服务器->服务器根据需要生成Cookie对象，并把一些数据保存在Cookie对象中->服务器会把Cookie对象放在响应头中，一并发还给浏览器，浏览器接收到服务器响应之后提取出该Cookie并保存在浏览器端。
    当下一次再次访问服务器时，浏览器就会把Cookie对象放在请求头中，一并发还给服务器->服务器从请求头中提取该Cookie对象判别Cookie里面的数据，然后做出个性化响应。

Cookie生命周期：（不设置过期时间下）是浏览器会话周期，即只要关闭浏览器窗口，cookie就消失了，即默认会话结束后失效。（cookie信息保存在内存中）
SetMaxAge设置cookie有效期，cookie信息保存在硬盘上。

Cookie机制：
    1.Java中把Cookie封装成了类，每个Cookie都是该Cookie类的对象。
    2.通过request.getCookie()获取客户端提交的所有Cookie（以Cookie[]数组形式返回）
    3.通过response.addCookie(Cookie cookie)向客户端设置Coocookie
    4.Cookie对象使用key-value属性对的形式保护用户状态，一个Cookie对象保存一个属性对，一个request或者response同时使用多个Coocookie
    5.Cookie具有不可跨域名性。
    6.Cookie的maxAge决定着Cookie的有效期，单位为秒。Cookie中通过getMaxAge()方法与setMaxAge()方法来读写maxAge属性。
      如果maxAge为正数，则表示该Cookie会在maxAge秒之后自动生效（持久化）；
      如果maxAge为负数，则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效，关闭窗口后该Cookie即失效。（临时Cookie，不会被持久化）
      如果maxAge为0，则表示删除该Cookie。cookie.setMaxAge(0);response.addCookie(cookie);
    7.从客户端读取Cookie时，包括maxAge在内的其他属性都是不可读的，也不会被提交。浏览器提交Cookie时只会提交name与value属性。
    8.Cookie不提供修改，删除操作。如果需要修改某个cookie，只需要新建一个同名的Cookie，并将maxAge设置为0，并提交到reponse中覆盖原来的Cookie。cookie.setMaxAge(0);response.addCookie(cookie);

 Cookie uesrNameCookie=new Cookie("userName",userName);
 Cookie pwdCookie=new Cookie("pwd",userPassword);
 
 uesrNameCookie.setMaxAge(2*60);
 pwdCookie.setMaxAge(2*60);
 
 response.addCookie(uesrNameCookie);
 response.addCookie(pwdCookie);
 
 Cookie[] cookies=request.getCookies();
 if(cookies!=null) {
     for(Cookie cookie:cookies) {
         if(cookie.getName().equals("userName")) {
             userName=cookie.getValue();
         }
         if(cookie.getName().equals("pwd")) {
             userPassword=cookie.getValue();
         }
     }
 }

Session:

Session是另一种记录客户状态的机制。

HttpSession是服务器端为客户端创建的一个对象，在这个对象中保存客户的一些数据，而这些数据则用于服务端和客户端之间的状态保存。

Session工作原理：浏览器发送Http请求到服务器端->服务器端根据请求需求，生成一个对应的Session对象，并给其附上一个唯一的编号->服务器端把需要的数据记录到对应的Session对象中，接着服务器端做些逻辑处理->把Session对象的唯一编号放到一个Cookie中，最后把Http响应发送到浏览器端->浏览器端会把带着SessionId的Cookie保存下来。
    当下一次浏览器再次发送请求到该服务器时，就会发送这个带有SessionId的Cookie，服务器拿到后，就会取出对应的SessionId，并找出对应的Session对象->当服务器辨别出这个用户后，就会对用户进行个性化的响应。

Session生命周期：默认有效期30分钟
调用接口，setMaxInactiveInterval设置有效期
通过部署描述符来配置有效期
可以主动调用接口：invalidate使Session失效

HttpSession session=request.getSession();
 String name=(String)session.getAttribute("userName");
 session.setMaxInactiveInterval(2*60);
 session.invalidate();
 if(name!=null) {
     System.out.println("second login:"+name);
 }
 session.setAttribute("userName", userName);