Android HTTP session && cookie

http://www.2cto.com/kf/201206/135471.html
HTTP协议与状态保持
HTTP协议本身是无状态的，这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器请求下载某些文件，无论是客户端还是服务器都没有必要纪录彼此过去的行为，每一次请求之间都是独立的，好比一个顾客和一个自动售货机或者一个普通的（非会员制）大卖场之间的关系一样。
     
    然而聪明（或者贪心？）的人们很快发现如果能够提供一些按需生成的动态信息会使web变得更加有用，就像给有线电视加上点播功能一样。这种需求一方面迫使HTML逐步添加了表单、脚本、DOM等客户端行为，另一方面在服务器端则出现了CGI规范以响应客户端的动态请求，作为传输载体的HTTP协议也添加了文件上载、cookie这些特性。其中cookie的作用就是为了解决HTTP协议无状态的缺陷所作出的努力。至于后来出现的session机制则是又一种在客户端与服务器之间保持状态的解决方案。
     
    让我们用几个例子来描述一下cookie和session机制之间的区别与联系。笔者曾经常去的一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠，然而一次性消费5杯咖啡的机会微乎其微，这时就需要某种方式来纪录某位顾客的消费数量。想象一下其实也无外乎下面的几种方案：
    1、该店的店员很厉害，能记住每位顾客的消费数量，只要顾客一走进咖啡店，店员就知道该怎么对待了。这种做法就是协议本身支持状态。
    2、发给顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每次消费时，如果顾客出示这张卡片，则此次消费就会与以前或以后的消费相联系起来。这种做法就是在客户端保持状态。
    3、发给顾客一张会员卡，除了卡号之外什么信息也不纪录，每次消费时，如果顾客出示该卡片，则店员在店里的纪录本上找到这个卡号对应的纪录添加一些消费信息。这种做法就是在服务器端保持状态。
     
    由于HTTP协议是无状态的，而出于种种考虑也不希望使之成为有状态的，因此，后面两种方案就成为现实的选择。具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也看到，由于采用服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的，但实际上它还有其他选择。

http://www.blogjava.net/cheneyfree/archive/2007/05/26/120168.html

Cookie 定义
typedef struct CookieEntry
{
       PTCHAR     pszName;
       PTCHAR     pszValue;
       PTCHAR     pszUrlPath;
       DWORD      dwFlags;//Security Flags
       DWORD      dwLowWordExpiration;//LowWord of FILETIME
       DWORD      dwHighWordExpiration;//HighWord ofFILETIME
       DWORD      dwLowWordCreation;//LowWord of FILETIME
       DWORD      dwHighWordCreation;//HighWord of FILETIME
       CHAR   chEnd;//'*'
}COOKIEENTRY, *LPCOOKIEENTRY;

总结起来，每个Cookie有6个属性，分别 为：Cookies Name； Cookies Value； Domain；Path； Secure； Expire Date。这里给出的Cookie的6个属性和C++中定义的结构体不完全一致。其原因将在Cookie的文件格式小节给出解释。
下面对Cookie结构中的各个属性分别给出解释：
Cookies Name <Key>， 必要属性，指明了Cookie的名字，有一系列字符（不包括括号、逗号、空格等）组成；每个cookie由一个唯一的名称代表，这个名称可以包含字母、数 字、下划线。Cookie的名称是不分大小写，所以mycookie和MyCookie是一样。但考虑到服务器端语言可能区分大小写，所以对程序开发者来 说定义和使用时最好还是区分大小写。
Cookies Value，<Value>Cookie 的值，Web服务器储存在Cookie中的信息；保存在Cookie中的字符串值。这个值在存储之前是用encodeURIComponent()对其进 行编码的，否则会丢失数据或占用了Cookie。而且Cookie名字和值加起来的字节数不能超过4095字节，也即4KB。
Domain， 可选，指明了Cookie的有效域的范围，默认的是产生Cookie的服务器的名字；出于安全考虑，网站不能访问由其他域所创建的Cookie。创建 Cookie以后，域的信息会作为cookie的一部分存储下来。关于域，举个例子来说，如http://www.baidu.com/view /index.html, 它的域为：baidu.com。这里不做详述，后面的章节会有所涉及。
Path， 可选，指明了Cookie在有效域中的有效路径，在有效路径外的网页不可以读写Cookie，默认的是产生此Cookie的信息的URL；而该属性也是 Cookie的另一个安全特征，限制对Web服务器上特定目录的访问。即控制哪些访问能触发发送。例如请求的地址是上面的URL,如果 path=/view,这个Cookie就会被发送,但是path为其他路径的话,该Cookie会被忽略。
Secure， 可选，一个true/false值，用于表示Cookie是否只能从安全网站（使用SSL和https协议的网站）中访问；即如果标记一个Cookie为 安全的（这个值被设置为true），那么仅当客户端与服务器的对话通道是安全的（如HTTP over SSL），Cookie才会被传送。
Expire Date， 可选，指明了Cookie的有效时间，一旦过期，Cookie将不再有效，通常由产生Cookie的程序（Date由服务器指明）指定，如果不指明，系统会默认Cookie将在用户会话结束后自动过期。

cookie机制和session机制的区别
*************************************************************************************
Cookie是客户端的存储空间，由浏览器来维持。具体来说cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也看到，由于才服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制("PHPSESSID")来达到保存标识的目的，但实际上还有其他选择，比如说重写URL和隐藏表单域。
如何利用实现自动登录
*************************************************************************************
当用户在某个网站注册后，就会收到服务器发送的一个惟一用户ID的cookie。客户后来重新连接时，这个用户ID会自动发送回服务器，服务器对它进行检查，确定它是否为注册用户且选择了自动登录，从而使用户务需给出明确的用户名和密码，就可以访问服务器上的资源。
如何根据用户的爱好定制站点
*************************************************************************************
网站可以使用cookie记录用户的意愿。对于简单的设置，网站可以直接将页面的设置存储在cookie中完成定制。然而对于更复杂的定制，网站只需仅将一个惟一的标识符发送给用户，由服务器端的数据库存储每个标识符对应的页面设置。

通过Cookie实现Session保持
http://l62s.iteye.com/blog/1663113

点击(此处)折叠或打开

import java.io.IOException;
import java.io.UnsupportedEncodingException;
import java.util.List;

import org.apache.http.HttpEntity;
import org.apache.http.HttpResponse;
import org.apache.http.HttpStatus;
import org.apache.http.NameValuePair;
import org.apache.http.client.ClientProtocolException;
import org.apache.http.client.CookieStore;
import org.apache.http.client.entity.UrlEncodedFormEntity;
import org.apache.http.client.methods.HttpPost;
import org.apache.http.cookie.Cookie;
import org.apache.http.impl.client.DefaultHttpClient;
import org.apache.http.protocol.HTTP;
import org.apache.http.util.EntityUtils;

public class MyHttpClient implements InetConfig {
private DefaultHttpClient httpClient;
private HttpPost httpPost;
private HttpEntity httpEntity;
private HttpResponse httpResponse;
public static String PHPSESSID = null;
public LVHttpClient() {

    }

public String executeRequest(String path, List<NameValuePair> params) {
        String ret = "none";
       try {
            this.httpPost = new HttpPost(BASEPATH + path);
            httpEntity = new UrlEncodedFormEntity(params, HTTP.UTF_8);
            httpPost.setEntity(httpEntity);
             //第一次一般是还未被赋值，若有值则将SessionId发给服务器
            if(null != PHPSESSID){
                httpPost.setHeader("Cookie", "PHPSESSID=" + PHPSESSID);
            }
            httpClient = new DefaultHttpClient();
        } catch (UnsupportedEncodingException e) {
            e.printStackTrace();
        }
        try {
            httpResponse = httpClient.execute(httpPost);
            if (httpResponse.getStatusLine().getStatusCode() == HttpStatus.SC_OK) {
                HttpEntity entity = httpResponse.getEntity();
                ret = EntityUtils.toString(entity);
                CookieStore mCookieStore = httpClient.getCookieStore();
                List<Cookie> cookies = mCookieStore.getCookies();
                for (int i = 0; i < cookies.size(); i++) {
                     //这里是读取Cookie['PHPSESSID']的值存在静态变量中，保证每次都是同一个值
                     if ("PHPSESSID".equals(cookies.get(i).getName())) {
                        PHPSESSID = cookies.get(i).getValue();
                        break;
                    }

                }
            }
        } catch (ClientProtocolException e) {
            e.printStackTrace();
        } catch (IOException e) {
            e.printStackTrace();
        }
        return ret;
    }
}

基于http协议的，那么如果网站不是php做的话，那个叫做Sessionid的Cookie可能叫做别的了，就不是PHPSESSID了，而是叫做别的名字了，这个可能要具体情况去查了。 

HTTP协议分析:
http://blog.csdn.net/gueter/article/details/1524447