《JAVA面经实录》- Web后端面试题一、《JAVA面经实录》- HTTP面试题1.HTTP协议是什么HTTP是一个基于TCP/IP通信协议来传递数据包括html文件、图像、结果等即是一个客户端和服务器端请求和应答的标准。基本上用到的就是GET和POST充其量再遇到个option请求。2.http和https有什么区别对比维度HTTPHTTPS全称HyperText Transfer ProtocolHTTP SSL/TLS 加密传输安全性明文传输易被窃听、篡改、劫持加密传输防窃听、防篡改、防冒充端口号80443连接方式直接建立 TCP 连接TCP TLS 握手后再通信缓存普通缓存缓存机制一致但需证书有效SEO / 搜索引擎不优先谷歌、百度优先收录性能开销小速度快多一次 TLS 握手略慢但可优化证书不需要需要 CA 颁发的数字证书应用场景内部系统、纯静态页面官网、登录、支付、小程序、APP(1)https 需要申请、配置数字证书用于身份验证http一般没有(2)http是超文本传输协议信息是明文传输不安全。https则是具有安全性的ssl加密传输协更安全(3)http默认80端口https默认443端口。(4)HTTPS 在 TCP 之上多了一层TLS/SSL 加密。(5)HTTPS 性能略低一点但现在优化后几乎无感。HTTPS 解决了哪三个问题保密性内容加密中间人看不到明文完整性数据被篡改会立即被发现身份认证证书验证服务器身份防止钓鱼网站3.http协议有什么特点(1)http无连接限制每次连接只处理一个请求服务端完成客户端的请求后即断开连接。(传输速度快减少不必要的连接但也意味着每一次访问都要建立一次连接效率降低);(2)http无状态对于事务处理没有记忆能力。每一次请求都是独立的不记录客户端任何行为(3)客户端/服务端模型客户端支持web浏览器或其他任何客户端(4)简单快速\灵活可以传输任何类型的数据。4.什么是http协议无状态协议怎么解决http协议无状态协议无状态协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息。状态协议解决办法1、cookie 2、通过session会话保存。5.说一下http协议中302状态http协议中返回状态码302表示重定向。这种情况下服务器返回的头部信息中会包含一个Location字段内容是重定向到的url。6.http协议什么组成请求报文包含三部分请求行包含请求方法、URI、HTTP版本信息请求首部字段请求内容实体。响应报文包含三部分状态行包含HTTP版本、状态码、状态码的原因短语响应首部字段响应内容实体。7.http协议中有那些请求方式GET用于请求访问已经被URI统一资源标识符识别的资源可以通过URL传参给服务器。POST用于传输信息给服务器主要功能与GET方法类似但一般推荐使用POST方式。PUT 传输文件报文主体中包含文件内容保存到对应URI位置。HEAD 获得报文首部与GET方法类似只是不返回报文主体一般用于验证URI是否有效。DELETE删除文件与PUT方法相反删除对应URI位置的文件。OPTIONS查询相应URI支持的HTTP方法。8.TCP和UDP的区别对比维度TCPUDP1. 连接性面向连接先建连再传输面三次握手建立、四次挥手释放无连接发完即走:直接发报文2. 可靠性可靠传输序列号 ACK 重传 →可靠、有序、不丢不重不可靠,Best-Effort可能丢、乱序、重复不保证送达3. 拥塞控制有慢启动、拥塞避免等无4. 流量控制有滑动窗口无5. 传输效率低握手 确认 重传高开销小、速度快6. 数据顺序保证有序不保证顺序7. 头部开销大最少 20 字节小固定 8 字节8. 双工模式全双工可同时收发支持一对一 / 一对多广播9. 应用场景文件、网页、接口、支付直播、游戏、语音、视频、DNS10. 典型协议HTTP/HTTPS、FTP、SMTP、SSHDNS、DHCP、RTP (音视频)、QUICTCPTransmission Control Protocol传输控制协议是基于连接的协议也就是说在正式收发数据前必须和对方建立可靠的连接。一个TCP连接必须要经过三次“对话”才能建立起来。UDPUser Data Protocol用户数据报协议是与TCP相对应的协议。它是面向非连接的协议它不与对方建立连接而是直接就把数据包发送过去UDP适用于一次只传送少量数据、对可靠性要求不高的应用环境。9.http的长连接和短连接区别HTTP协议有HTTP/1.0版本和HTTP/1.1版本。HTTP1.1默认保持长连接HTTP persistent connection也翻译为持久连接数据传输完成了保持TCP连接不断开不发RST包、不四次握手等待在同域名下继续用这个通道传输数据相反的就是短连接。在 HTTP/1.0 中默认使用的是短连接。也就是说浏览器和服务器每进行一次HTTP操作就建立一次连接任务结束就中断连接。从HTTP/1.1起默认使用的是长连接用以保持连接特性。10.什么是 CSRF 攻击如何避免CSRFCross-site request forgery也被称为 one-click attack或者 session riding中文全称是叫跨站请求伪造。一般来说攻击者通过伪造用户的浏览器的请求向访问一个用户自己曾经认证访问过的网站发送出去使目标网站接收并误以为是用户的真实操作而去执行命令。常用于盗取账号、转账、发送虚假消息等。攻击者利用网站对请求的验证漏洞而实现这样的攻击行为网站能够确认请求来源于用户的浏览器却不能验证请求是否源于用户的真实意愿下的操作行为。11.什么是 XSS 攻击如何避免XSS攻击又称CSS,全称Cross Site Script 跨站脚本攻击其原理是攻击者向有XSS漏洞的网站中输入恶意的 HTML 代码当用户浏览该网站时这段 HTML 代码会自动执行从而达到攻击的目的。XSS 攻击类似于 SQL 注入攻击SQL注入攻击中以SQL语句作为用户输入从而达到查询/修改/删除数据的目的而在xss攻击中通过插入恶意脚本实现对用户游览器的控制获取用户的一些信息。 XSS是 Web 程序中常见的漏洞XSS 属于被动式且用于客户端的攻击方式。XSS防范的总体思路是对输入(和URL参数)进行过滤对输出进行编码。12.说一说OSI网络模型。网络的七层架构从下到上主要包括物理层、数据链路层、网络层、传输层、会话层、表示层和应用层。①物理层物理层主要定义物理设备标准主要作用是传输比特流具体做法是在发送端将1、0转化为电流强弱来进行传输在到达目的地之后再将电流强弱转化为1、0也就是我们常说的模数转换与数模转换这一层的数据叫做比特。②数据链路层数据链路层主要用于对数据包中的MAC地址进行解析和封装。这一层的数据叫做帧在这一层工作的设备是网卡、网桥、交换机。③网络层网络层主要用于对数据包中的IP地址进行封装和解析这一层的数据叫做数据包。在这一层工作的设备有路由器、交换机、防火墙等。④传输层传输层定义了传输数据的协议和端口号主要用于数据的分段、传输和重组。在这一层工作的协议有TCP和UDP等。TCP是传输控制协议传输效率低可靠性强用于传输对可靠性要求高数据量大的数据比如支付宝转账业务UDP是用户数据报协议用于传输可靠性要求不高数据量小的数据例如抖音等视频服务。⑤会话层会话层在传输层的基础上建立连接和管理会话具体包括登陆验证、断点续传、数据粘包与分包等。在设备之间需要互相识别的可以是IP也可以是MAC或者主机名。⑥表示层表示层主要对接收的数据进行解释、加密、解密、压缩、解压缩等即把计算机能够识别的内容转换成人能够识别的内容图片、声音、文字等。⑦应用层基于网络构建具体应用例如FTP上传文件下载服务、Telnet服务、HTTP服务、DNS服务、SNMP邮件服务等。13.说一说TCP/IP的网络模型。TCP/IP不是指TCP和IP这两个协议的合称而是指因特网的整个TCP/IP协议簇。从协议分层模型方面来讲TCP/IP由4个层次组成网络接口层、网络层、传输层和应用层。①网络接口层定义了主机间网络连通的协议具体包括Echernet、FDDI、ATM等通信协议。②网络层主要用于数据的传输、路由及地址的解析以保障主机可以把数据发送给任何网络上的目标。数据经过网络传输发送的顺序和到达的顺序可能发生变化。在网络层使用IP协议和ARP地址解析协议。③传输层使源端和目的端的机器上的对等实体可以基于会话相互通信。在这一层定义了两个端到端的协议TCP和UDP。TCP是面向连接的协议提供可靠的报文传输和对上层应用的连接服务除了基本的数据传输它还有可靠性保证、流量控制、多路复用、优先权和安全性控制等功能。UDP是面向无连接的不可靠传输的协议主要用于不需要TCP的排序和流量控制等功能的应用程序。④应用层负责具体应用层协议的定义包括Telnet虚拟终端协议、FTP文件传输协议、SMTP简单电子邮件传输协议、DNS域名解析服务、NNTP网上新闻传输协议和HTTP超文本传输协议等。14.简述TCP的三次握手过程为什么不是两次或四次①服务端创建传输控制块TCB进入LISTEN状态准备接收客户端的请求。客户端同样先创建TCB然后当准备建立连接时向服务端发送连接请求报文SYN1seqx然后进入SYN-SENT状态。②服务端收到后向客户端发送确认报文SYN1ACK1ackx1seqy进入SYN-RCVD状态。③客户端接收到确认后再向服务端发送一个确认报文ACK1acky1seqx1然后进入ESTABLISHED状态服务端接收后也进入ESTABLISHED状态。④不是两次的原因是为了避免无效的连接请求突然发送到服务端而此时客户端已关闭服务端误以为客户端将要发送数据会白白浪费资源。⑤不是四次的原因是将服务端的SYN和ACK报文拆分成两次发送和一次的效果是相同的没有意义。15.简述TCP的四次握手过程为什么不是三次①当客户端准备关闭连接时向服务端发送连接终止报文FIN1sequ进入FIN-WAIT-1状态。②服务端接收后向客户端发送确认报文ACK1acku1seqv进入CLOSE-WAIT状态客户端收到后进入FIN-WAIT-2状态此时TCP连接处于半关闭状态。③当服务端也发送完全部数据准备断开连接时向客户发送连接终止报文FIN1ACK1acku1seqw进入LAST-ACK状态。④客户端接收到该报文后发送一个确认报文ACKw1ack1sequ1进入TIME-WAIT状态然后等待2MSL时间后关闭。服务端收到后关闭时间将略早于客户端。⑤不是三次的原因第一是为了保证客户端发送的最后一个报文可以到达服务端如果该报文丢失那么服务端会超时重传之前的FINACK报文客户端可以在2MSL内收到第二是防止已失效的报文发送到客户端在2MSL后客户端在本连接时间内发出的所有报文都将从网络中消失。16.从「敲下一个 URL」到「页面出现在屏幕」整条链路全景(1). URL解析与浏览器预处理 (地址栏解析)• 核心将用户输入的URL字符串拆解为可识别的网络请求目标• 具体操作解析协议http/https、域名、路径、查询参数、默认端口http:80、https:443• 额外检查HSTS协议校验强制使用HTTPS避免HTTP降级• 缓存优先检查本地缓存Memory Cache内存缓存 / Disk Cache磁盘缓存命中且未过期则直接渲染跳过后续网络请求。(2). DNS域名解析域名→IP(DNS 解析)• 解析方式采用「递归查询 迭代查询」结合逐级查找提升效率• 查询顺序从近到远优先缓存浏览器缓存 → 系统缓存本地hosts文件 → 路由器缓存 → 运营商DNS缓存 → 根域名服务器 → 顶级域服务器.com/.cn等 → 权威DNS服务器• 结果处理解析成功后IP地址会被各级缓存记录由TTL控制缓存有效期后续同类请求可直接复用。(3). TCP连接建立可靠传输通道(建立连接)• 核心通过TCP三次握手确认双方收发能力正常建立稳定连接• 三次握手流程1. 客户端 → 服务器发送SYN包告知“我想建立连接序列号为X”2. 服务器 → 客户端返回SYNACK包告知“收到请求同意连接我的序列号为Y”3. 客户端 → 服务器发送ACK包告知“收到确认连接正式建立”。• HTTPS额外步骤TLS握手1. 服务器下发数字证书含公钥、域名、有效期、CA签名2. 客户端验证证书合法性是否过期、域名是否匹配、CA是否可信3. 双方协商加密套件生成会话密钥4. 后续所有网络数据均通过会话密钥加密传输防止窃听、篡改。(4). 发送HTTP请求应用层通信(发送请求)• 请求结构由请求行、请求头、请求体三部分组成GET请求无请求体• 核心内容- 请求行请求方法GET/POST等、请求路径、HTTP协议版本- 请求头携带元数据Host目标主机、User-Agent客户端信息、Cookie身份凭证、Accept可接受数据类型等- 请求体POST请求时提交表单、JSON等数据GET请求通过查询参数传递数据。(5). 服务器处理请求 (服务器响应)• 处理流程从外到内1. 反向代理Nginx/Apache接收请求进行负载均衡、限流静态资源图片、CSS直接返回2. 应用服务器Tomcat/Node.js/Python等接收动态请求执行业务逻辑3. 业务处理路由匹配、参数校验、数据库CRUD增删改查、调用第三方服务4. 生成响应拼接HTML字符串、JSON数据或二进制文件封装为HTTP响应报文。(6). 浏览器解析与渲染核心环节(浏览器渲染)• 核心逻辑将服务器返回的字节流逐步转换为屏幕可见的像素流水线并行处理• 具体步骤1. 解析HTML → 生成DOM树Document Object Model字节流解码→字符串分词→语法分析构建页面节点结构注意遇到script标签会暂停解析等待JS下载执行除非添加async/defer2. 解析CSS → 生成CSSOM树CSS Object Model解析内联、外链、默认样式生成所有样式的计算规则CSSOM为只读3. 合成渲染树Render Tree将DOM树与CSSOM树合并只保留可见节点过滤display:none、head等不可见元素4. 布局Layout/Reflow计算每个渲染节点的几何信息坐标、宽高、边距、位置首次渲染必触发修改几何属性会再次触发5. 分层Layer将复杂页面3D变换、视频、Canvas拆分为独立图层避免全局重绘提升性能6. 绘制Paint/Repaint将每个图层拆分为绘制指令填充颜色、描边、文字、图片由合成线程调度GPU光栅化生成位图7. 合成Composite将所有图层位图按z-index顺序合成输出到屏幕缓冲区最终显示在屏幕上。(7). 后续流程页面交互与连接管理(关闭连接)• 子资源加载解析HTML时发现img、link、script等标签异步发起新请求下载资源• JS执行执行下载完成的JS可能修改DOM/CSS触发重排→重绘→合成同时绑定点击、滚动等交互事件• 加载完成事件DOMContentLoadedDOM树就绪无需等待图片等资源、load所有资源加载完毕• TCP连接关闭HTTP/1.1默认开启keep-alive复用连接空闲时通过TCP四次挥手关闭连接。17.HTTP 常见状态码有哪些一、按分类速记分类含义1xx信息性临时响应很少用2xx成功响应,请求正常处理3xx重定向,需要进一步操作4xx客户端错误,前端 / 用户问题5xx服务端错误,后端 / 服务器问题二、状态码完整表格状态码英文名称中文含义 面试场景100Continue继续客户端可继续发送数据多用于大文件上传101Switching Protocols切换协议如 HTTP 升级为 WebSocket200OK请求成功正常返回数据最常用201Created创建资源成功POST 新增接口204No Content请求成功但无响应体删除 / 更新接口常用301Moved Permanently永久重定向地址已废弃会被缓存302Found临时重定向本次跳转不缓存304Not Modified资源未修改使用本地缓存缓存优化核心400Bad Request请求参数错误、格式非法401Unauthorized未登录 / 认证失败需要身份验证403Forbidden已登录但权限不足拒绝访问404Not Found资源 / 接口不存在405Method Not Allowed请求方法不支持如接口只支持 POST429Too Many Requests请求频率过高被限流500Internal Server Error服务器代码异常、报错502Bad Gateway网关错误后端服务不可用503Service Unavailable服务过载 / 维护中暂时不可用504Gateway Timeout网关超时后端响应过慢二、《JAVA面经实录》- Servlet面试题1.Servlet的生命周期(1)web Client 向servlet服务器发出Http请求(2)servlet接受web Client的请求(3) servlet容器创建一个HttpRequest 对象将Web Client请求的信息封装到这个对象中(4)servlet容器创建一个HttpResponset对象(5)servlet容器调用HttpServlet对象的service方法把HttpRequest对象与HttpResponse对象作为参数传给HttpServlet对象(6)HttpServlet调用HttpRequest对象的有关方法获取Http请求信息(7)HttpServlet调用HttpResponst 对象的有关方法生成响应数据(8) Servlet容器把 HttpServlet的响应结果给Web Client简单的说:init service destroy2.Servlet是线程安全的吗Servlet不是线程安全的多线程并发的读写会导致数据不同步的问题。解决的办法是尽量不要在实现servlet接口的类中定义实例变量而是要把变量分别定义在doGet()和doPost()方法内。虽然使用synchronized(name){}语句块可以解决问题但是会造成线程的等待不是很科学的办法。注意多线程的并发的读写Servlet类属性会导致数据不同步。但是如果只是并发地读取属性而不写入则不存在数据不同步的问题。因此Servlet里的只读属性最好定义为final类型的。3.get和post请求的区别(1)get请求用来从服务器上获得资源而post是用来向服务器提交数据(2)get将表单中数据按照namevalue的形式添加到action 所指向的URL 后面并且两者使用?连接而各个变量之间使用连接post是将表单中的数据放在HTTP协议的请求头或消息体中传递到action所指向URL(3)get传输的数据要受到URL长度限制1024字节而post可以传输大量的数据上传文件通常要使用post方式(4)使用get时参数会显示在地址栏上如果这些数据不是敏感数据那么可以使用get对于敏感数据还是应用使用post(5)get使用MIME类型application/x-www-form-urlencoded的URL编码也叫百分号编码文本的格式传递参数保证被传送的参数由遵循规范的文本组成例如一个空格的编码是%20。4.转发和重定向的区别(1)重定向访问服务器两次转发只访问服务器一次。(2)转发页面的URL不会改变而重定向地址会改变(3)转发只能转发到自己的web应用内重定向可以重定义到任意资源路径。(4)转发相当于服务器跳转相当于方法调用在执行当前文件的过程中转向执行目标文件两个文件(当前文件和目标文件)属于同一次请求前后页 共用一个request可以通过此来传递一些数据或者session信息request.setAttribute()和 request.getAttribute()。而重定向会产生一个新的request不能共享request域信息与请求参数。(5)由于转发相当于服务器内部方法调用所以转发后面的代码仍然会执行(转发之后记得return)重定向代码执行之后是方法执行完成之后进行重定向操作也就是访问第二个请求如果是方法的最后一行进行重定向那就会马上进行重定向(重定向也需要return)。(6)无论是RequestDispatcher.forward方法还是HttpServletResponse.sendRedirect方法在调用它们之前都不能有内容已经被实际输出到了客户端。如果缓冲区中已经有了一些内容这些内容将被从缓冲区中移除。可以这么理解转发相当于张三向你借钱但是你兜里没钱所以你去找李四借到钱之后借给张三。对于张三而言并不知道你的钱是和李四借的重定向相当于张三向你借钱你兜里没钱你告诉他李四有钱所以张三再次去找李四借钱。5.jsp九大内置对象?request封装客户端的请求其中包含来自GET或POST请求的参数response封装服务器对客户端的响应pageContext通过该对象可以获取其他对象session封装用户会话的对象application封装服务器运行环境的对象out输出服务器响应的输出流对象configWeb应用的配置对象pageJSP页面本身相当于Java程序中的thisexception封装页面抛出异常的对象。6.jsp的四大域对象JSP中的四种作用域包括page、request、session和application具体来说page代表与一个页面相关的对象和属性。request代表与Web客户机发出的一个请求相关的对象和属性。一个请求可能跨越多个页面涉及多个Web组件需要在页面显示的临时数据可以置于此作用域。session代表与某个用户与服务器建立的一次会话相关的对象和属性。跟某个用户相关的数据应该放在用户自己的session中。application代表与整个Web应用程序相关的对象和属性它实质上是跨越整个Web应用程序包括多个页面、请求和会话的一个全局作用域。7.jsp和Servlet的区别(1)jsp的本质是Servlet jvm只能识别java的类不能识别jsp的代码。(2) jsp更擅长表现与页面显示Servlet更擅长与逻辑控制。(3) servlet中没有内置对象jsp中有九大内置对象。三、《JAVA面经实录》- XML/JSON面试题1.XML是什么XML 即可扩展标记语言Extensible Markup language你可以根据自己的需要扩展 XML。XML 中可以轻松定义books, orders等自定义标签而在 HTML 等其他标记语言中必须使用预定义的标签比如p而不能使用用户定义的标签。使用 DTD 和 XML Schema 标准化XML 结构。XML 主要用于从一个系统到另一系统的数据传输比如企级应用的客户端与服务端。2.解析 XML 文档有哪几种方式解析方式有 DOM,SAX,STAX 等● DOM:处理大型文件时其性能下降的非常厉害。这个问题是由 DOM 的树结构所造成的这种结构占用的内存较多而且 DOM 必须在解析文件之前把整个文档装入内存,适合对 XML 的随机访问● SAX:不同于 DOM,SAX 是事件驱动型的 XML 解析方式。它顺序读取 XML 文件不需要一次全部装载整个文件。当遇到像文件开头文档结束或者标签开头与标签结束时它会触发一个事件用户通过在其回调事件中写入处理代码来处理 XML 文件适合对 XML 的顺序访问● STAX:Streaming API for XML (StAX)。3.项目中的哪些地方用到xml?(1)在做数据交换平台时将不能数据源的数据组装成 XML 文件然后将 XML 文件压缩打包加密后通过网络传送给接收者接收解密与解压缩后再同 XML 文件中还原相关信息进行处理。(2)在做软件配置时利用 XML 可以很方便的进行软件的各种配置参数都存贮在 XML 文件中。4.什么是JSON?JSON是一种取代XML的数据结构和xml相比它更小巧但描述能力不差网络传输数据将减少更多的流量从而加快速度是一种轻量级的数据交换格式。5.JSON和XML之间的区别(1)JSON是JavaScript Object NotationXML是可扩展标记语言。(2)JSON是基于JavaScript语言XML源自SGML。(3)JSON是一种表示对象的方式XML是一种标记语言使用标记结构来表示数据项。(4)JSON不提供对命名空间的任何支持XML支持名称空间。(5)JSON支持数组XML不支持数组。(6)XML的文件相对难以阅读和解释与XML相比JSON的文件非常易于阅读。(7)JSON不使用结束标记XML有开始和结束标签。(8)JSON的安全性较低XML比JSON更安全。(9)JSON不支持注释XML支持注释。(10)JSON仅支持UTF-8编码XML支持各种编码。四、《JAVA面经实录》- Cookie/Session面试题1.会话是什么会话客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话。http协议是“无状态”协议不能保存用户信息需要判断是否是同一个用户需要会话跟踪。cookies和session都是用来跟踪浏览器用户身份的会话方式但两者应用场景不一样。2.Session和Cookie的概念Cookie 是Web 服务器发送给客户端浏览器的一小段信息客户端请求时可以读取该信息发送到服务器端进而进行用户的识别。对于客户端的每次请求服务器都会将 Cookie 发送到客户端,在客户端可以进行保存,以便下次使用。Session 代表着服务器和客户端一次会话的过程。每一个用户都有一个不同的 session各个用户之间是不能共享的是每个用户所独享的在 session 中可以存放信息。Session 的实现依赖于 Cookie如果 Cookie 被禁用那么 session 也将失效。3.Cookie禁止掉Session还能用吗第一种在每次请求中都携带一个 SessionID 的参数放入URL第二种Token 机制。Token 的意思是“令牌”是服务端生成的一串字符串作为客户端进行请求的一个标识。随机且无状态用户信息都被加密到token中服务器收到token后解密就可知道是哪个用户。需要开发者手动添加。4.Cookie的生存周期Cookie在生成时就会被指定一个Expire值这就是Cookie的生存周期在这个周期内Cookie有效超出周期Cookie就会被清除。有些页面将Cookie的生存周期设置为“0”或负值这样在关闭浏览器时就马上清除Cookie不会记录用户信息更加安全。5.Cookie和Session的区别?(1)存在的位置Cookie存在于客户端临时文件夹中 Session存在于服务器的内存中一个Session域对象为一个用户浏览器服务。(2)安全性Cookie是以明文的方式存放在客户端的安全性低可以通过一个加密算法进行加密后存放 Session存放于服务器的内存中所以安全性好。(3)网络传输量Cookie会传递消息给服务器 Session本身存放于服务器不会有传送流量。(4)生命周期(以20分钟为例)Cookie的生命周期是累计的从创建时就开始计时20分钟后Cookie生命周期结束session的生命周期是间隔的从创建时开始计时如在20分钟没有访问Session那么Session生命周期被销毁。但是如果在20分钟内如在第19分钟时访问过Session那么将重新计算Session的生命周期。关机会造成Session生命周期的结束但是对Cookie没有影响。(5)访问范围Cookie为多个用户浏览器共享 Session为一个用户浏览器独享。