一、Cookie
Cookie的英文原意是“点心”，它是用户 访问Web服务器时，服务器在用户硬盘上存放的信息，好像是服务器送给客户的“点心”。服务器可以根据Cookie来跟踪用户，这对于需要区别用户的场合（如电子商务）特别有用。
一个Cookie包含一对Key/Value。下面 的代码生成一个Cookie并将它写到用户 的硬盘上：

CookietheCookie=newCookie("cookieName","cookieValue");
response.addCookie(theCookie);

二、Session
Session用于跟踪客户的状态。Session指的是在一段时间内，单个客户与Web服务器的一连串相关的交互过程 。 在一 个Session中，客户可能会多次请求访问同一个网页，也有可能请求访问各种不同的服务器资源。

1.运行机制

• 当一个 Session 开始时， Servlet 容器将创建一 个HttpSession对象，在HttpSession对象中可以存放客户状态的信息（例如购物车）。
• Servlet容器为HttpSession分配一个惟一标志符，称为Session ID。Servlet容器把Session ID作为Cookie保存在客户的浏览器中。
• 每次客户发出HTTP请求时，Servlet容器可以从HttpServletRequest对象中读取Session ID，然后根据Session ID找到相应的HttpSession对象，从而获取客户的状态信息。

2.HttpSession接口

• getId() 返回Session的ID
• invalidate() 使当前的Session失效，Servlet容器会释放HttpSession对象占用的资源
• setAttribuate(String name, Object value) 将一对name/value属性保存在HttpSession对象中
• getAttribute(String name) 根据name参数返回保存在HttpSession对象中的属性值
• isNew() 判断是否是新创建的Session。如果是新创建的Session，返回true，否则返回false
• setMaxInactiveInterval() 设定一个Session可以处于不活动状态的最大时间间隔，以秒为单位。如果超过这个时间，Session自动失效。如果设置为负数，表示不限制Session处于不活动状态的时间

3.生命周期

• 当客户第一次访问Web应用中支持Session的某个网页时，就会开始一个新的Session。接下来当客户浏览这个Web应用的不同网页时，始终处于同一个Session中。
• 在以下情况中，Session将结束生命周期：
  （1）客户端关闭浏览器
  （2）Session过期
  （3）服务器端调用了HttpSession的invalidate()方法

4.Session过期
Session过期是指当Session开始后，在一段时间内客户没有和Web服务器交互，这个Session会失效，HttpSession的setMaxInactiveInterval()方法可以设置允许Session保持不活动状态的时间（以秒为单位），如果超过这一时间，Session就会失效。