session&cookie

1 一个用户的所有请求操作都应该属于同一个会话，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。

2 A执行时取的是A的Cookie，B执行时取的是B的Cookie。这是Cookie机制规定的。程序只需要简单执行request.getCookies()就可以了，服务器只会返回当前客户的Cookie，而不会返回其他客户的Cookie。各客户端的Cookie彼此独立，互不可见。

3 Cookie的不可跨域名性: Cookie具有不可跨域名性。根据Cookie规范，浏览器访问Google只会携带Google的Cookie，而不会携带Baidu的Cookie。Google也只能操作Google的Cookie，而不能操作Baidu的Cookie。