cookie是由瀏覽器維護的, session是由服務器維護的. 兩者之間并沒有絕對的關系, 只是一般情況下服務器使用cookie維持session而已.

至于時效問題:

• 會話cookie是在瀏覽器關閉時(或者下次啟動時)刪除的, 所以只要瀏覽器不關閉, 會話cookie就不會失效.
• session則是超過一定時間不讀取/設置就會過期.

可以發(fā)現(xiàn)兩者并不同步, 那么為什么實際上感覺不到呢? 因為首先不重啟瀏覽器, 不手動刪除cookie, 那么會話cookie就不會失效, 而大多數(shù)用戶又不會登陸一個網(wǎng)站以后幾個小時不操作(直播類/視頻類網(wǎng)站即使用戶不操作, 也會有網(wǎng)絡請求, 后臺即可自動續(xù)期), 所以session也可以維持住.
你可以試下這種操作:

• 登陸一個網(wǎng)站(不要選擇自動登陸), 然后重啟瀏覽器, 再訪問這個網(wǎng)站, 這時應該就會出現(xiàn)登陸頁.
• 登陸一個網(wǎng)站(比如某個論壇, 不要選擇自動登陸), 然后兩個小時不點擊這個頁面, 不關閉瀏覽器, 之后看看再操作是不是會需要重登錄.

至于七天免登陸, 一般是把用戶的一些信息加鹽hash, 然后記錄到數(shù)據(jù)庫, 并且設置一個新的cookie, 七天失效. 當用戶訪問網(wǎng)站時, 如果沒登陸, 則認證這個cookie是不是正確, 正確就會自動登陸, 從用戶看來, 就是免登陸.

我理解的是，cookie中的jsessionid 存儲的是sessionId ， 服務器需要根據(jù)這個Id檢索session
Tomcat的默認是用ConcurrentHashMap實現(xiàn)的

protected Map<String, Object> attributes = new ConcurrentHashMap<String, Object>();

1. jsessionid沒了 ，需要重新登陸獲取新的 jsessionid

2.session的銷毀時間到了，根據(jù)sessionId 取不到session，是否重新創(chuàng)建新的session看配置

javax.servlet.http.HttpServletRequest.getSession(boolean create)

3.session機制中，jsessionid的生命周期就是在瀏覽器關閉前

4.免登陸，可以將用戶名和密碼加密后通過Cookie存放在客戶端，當服務端上的Session銷毀后，使用Cookie里面存放的信息重新執(zhí)行一次登錄操作，重建Session，并更新客戶端上Cookie中存放的的Session ID