飞道的博客

【JavaWeb】会话跟踪技术Cookie与Session原始真解

317人阅读  评论(0)


1 什么是会话?

在日常生活中,从拨通电话到挂断电话之间的一连串的你问我答的过程就是一个会话。Web应用中的会话过程类似于生活中的打电话过程,它指的是一个客户端(浏览器)与Web服务器之间连续发生的一系列请求响应的过程,例如一个用户在某网站上的整个购物过程就是一个会话。

在打电话过程中,通话双方有通话内容,同样,在客户端与服务器端交互的过程中,也会产生一些数据。例如,用户甲和乙的信息分别登录了购物网站,甲购买了一个iphone手机,乙购买了一个ipad,当这两个用户结账时,Web服务器需要对用户甲和乙的信息分别进行保存。其中HttpServletRequest对象和ServletContext对象都可以对数据进行保存,但是这两个对象都不行,具体原因如下:

  1. 客户端请求Web服务器时,针对每次HTTP请求,Web服务器都会创建一个HttpServletRequest对象,该对象只能保存本次请求所传递的数据。由于购买和结账是两个不同的请求,因此,在发送结账请求时,之前购买请求的数据会丢失。

  2. 使用ServletContext对象保存数据时,由于同一个Web应用共享的时是一个ServletContext对象,因此,当用户在发送结账请求时,由于无法区分哪些商品时哪个用户购买的,而会将购物网站中所有用户购买的商品进行结算,这显然也是不可行的。

  3. 为了保存会话过程中产生的数据,在Servlet技术中,提供了两个用于保存会话数据的对象,分别为Cookie和Session

具体来说,Cookie和Session技术的存在是为了保存会话过程中产生的数据。


2 Cookie技术

2.1 Cookie简介

Cookie翻译过来是饼干的意思。Cookie 是 Servlet 发送到 Web 浏览器的少量信息,这些信息由浏览器保存,然后发送回服务器。 Cookie 可以唯一的标识客户端,因此 Cookie 常用于会话管理。

说明:

  1. Cookie是服务器通知客户端保存键值对的一种技术
  2. 客户端有了 Cookie 后,每次请求都发送给服务器
  3. 每个 Cookie 的大小不超过 4kb

2.2 Cookie的理解与创建

在生活中,我们经常遇到这样的情况:登录一个网站后,下一次再登录,不需要重复输入账户密码,这就是使用到了cookie存储了一些需要的数据。

Cookie是客户端技术,服务器会将每个用户的数据以cookie的形式发送给用户各自的浏览器,当用户使用浏览器访问各自的资源时,就带着各自的数据去操作。 Cookie唯一标识了客户端。示意图如下:


Cookie创建的实现原理如下:
Cookie实现基于http协议,响应头:set-cookie,请求头:cookie

浏览器会一次性地将当前域名下的所有的Cookie都携带到对应的资源里去,我们需要时就直接获取对应键的名称就可以得到。

在Cookie的创建中,首先客户端是没有Cookie的,由Tomcat服务器创建了Cookie对象,存储了相应的键值对,并通过响应头通知客户端保存相应的cookie。客户端收到响应后,则会去创建相应的Cookie,如果已经存在,则会去修改。 示意图如下:


Cookie创建示例代码:

import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author 兴趣使然黄小黄
 * @version 1.0
 */
public class HelloCookie extends HttpServlet {
   
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
   
        Cookie cookie = new Cookie("name", "Peter");
        resp.addCookie(cookie);
    }
}

 


示例中,我们只创建了一个Cookie,实际可以创建多个,这里不再赘述。

2.3 服务器获取Cookie与Cookie的修改

服务器获取客户端的Cookie,只需要短短一行代码:

req.getCookies()

该方法会返回一个Cookie[]。

下面演示将Cookie创建案例中的cookie获取到服务端,并打印:
HelloCookie添加如下代码:

CookieServlet.java

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

/**
 * @author 兴趣使然黄小黄
 * @version 1.0
 */
public class CookieServlet extends HttpServlet {
   
    protected void getCookie(HttpServletRequest req, HttpServletResponse resp) throws IOException {
   
        Cookie[] cookies = req.getCookies();
        for (Cookie cookie : cookies) {
   
            //getName方法返回cookie的key
            //getValue方法返回对应的value
            resp.getWriter().write("Cookie[" + cookie.getName() + "=" + cookie.getValue() + "]<br/>");
        }
    }
}

 


如果想要获取特定name的值,只需要在遍历过程中进行过滤判断。一般进行过滤筛选的方法,为了方便起见,常常写成工具类:

import javax.servlet.http.Cookie;

/**
 * @author 兴趣使然黄小黄
 * @version 1.0
 * 工具类
 */
public class CookieUtils {
   
    /**
     * 寻找特定的cookie
     * @param name 查找的key
     * @param cookies 获取的cookies数组
     * @return 返回特定的cookie或者null
     */
    public static Cookie findCookie(String name, Cookie[] cookies){
   
        if (name == null || cookies == null || cookies.length == 0){
   
            return null;
        }

        for (Cookie cookie : cookies) {
   
            if (name.equals(cookie.getName())) {
   
                return cookie;
            }
        }
        return null;
    }
}

 

Cookie的修改

方案一:

  1. 创建一个同名的Cookie对象;
  2. 在构造器中赋予新Cookie值;
  3. 调用response.addCookie(newCookie);

方案二:

  1. 先找到需要修改的Cookie对象;
  2. 调用setValue()方法赋予新的Cookie值;
  3. 调用response.addCookie(cookie);

2.4 Cookie的生命控制与生命周期

Cookie的生命控制指的是如何管理Cookie什么时候被销毁(删除)。

默认情况下:
Cookie存储在浏览器内存中,当关闭浏览器内存释放,它自动销毁,所谓的无痕浏览就是这样。

非默认情况,人为设定:
通过setMaxAge(int expiry)指定cookie的最大生存时间(以秒为单位)。
正值表示cookie将在经过该值数秒后过期,负值则意味着不能持久存储,将在web浏览器退出时删除。

Cookie cookie = new Cookie("name", "Peter");
cookie.setMaxAge(60*60*24*3); //设置存活时间三天
resp.addCookie(cookie);

cookie的存活时间变成了3天

需要注意: Cookie不能直接存储中文,要通过转码(URL编码,encode()/decode())

扩展: 可以通过生命控制实现cookie的删除

    protected void deleteNow(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
   
        //找到要删除的Cookie对象
        Cookie findKey = CookieUtils.findCookie("findKey", req.getCookies());
        if (findKey != null){
   
            //调用setMaxAge(0)
            findKey.setMaxAge(0); //马上删除,不用关闭浏览器
            //修改后生效
            resp.addCookie(findKey);
        }
    }

2.5 Cookie有效路径Path设置

Cookie的Path属性可以有效的过滤哪些Cookie可以发送给服务器, 哪些不发( Path 属性是通过请求的地址来进行有效的过滤 )

规则:
cookieA.setPath = /工程路径
cookieB.setPath = /工程路径/abc

1.当请求地址为: http://localhost:800/工程路径/资源 时
cookieA会发给服务器而cookieB不会发给服务器
2.当请求地址为: http://localhost:8080/工程路径/abc/资源
cookieA、cookieB都会发给服务器


3 Session会话技术

3.1 初探Session

Session是服务端会话跟踪技术。
用户登录网站后,不管该用户浏览该网站的哪个页面,都可显示登录人的名字, 还可以随时去查看个人信息等等。即,一个用户在浏览网站不同页面时,通过Session,服务器可以知道是哪个用户在访问该页面并且做出反馈。

  1. Session是一个接口,HttpSession
  2. Session 就是会话,是用来维护客户端和服务器之间关联的一种技术
  3. 每个客户端都有一个Session会话
  4. Session会话中,经常保存用户登录后的信息。

当用户打开浏览器,访问某个网站, 操作session时服务器就会在内存(在服务端)为该浏览器分配一个session 对象,该session对象被这个浏览器独占

3.2 Session的创建、获取与基本使用

创建与获取Session的API相同:

request.getSession();
  • 第一次调用:创建Session会话
  • 往后:获取创建好的Session会话对象

通过isNew()方法,可以判断该Session是否为新对象。

每个会话都具有一个号码id值,且该id唯一! 通过 getId()可以获取Session会话对象的id值。

基本使用总结:

//1.创建和获取 Session
HttpSession hs=request.getSession();
//2.向session 添加属性
hs.setAttribute(String name,Object val); 
//3.从session 得到某个属性
Object obj=hs.getAttribute(String name);
//4.从session 删除某个属性
hs.removeAttribute(String name); 
//5.判断是不是刚创建出来的Session 
boolean flag = hs.isNew();
//6.每个Session都有唯一标识id值,通过getid() 得到Session的会话id 值
hs.getId();

3.3 Session的生命控制与生命周期

Session不能长时间保存数据,浏览器关闭后再获取的不是同一个Session对象。

通过setMaxInactiveInterval(int interval)可以设置Session的超时时间(以秒为单位),超过指定的时长,Session 就会被销毁。值为正数的时候,设定Session的超时时长,负数则表示永不超时。

相应的getMaxInactiveInterval()可以获取Session的超时时间,而invalidate() 可以让当前 Session 会话立即无效

默认情况下:
Tomcat会以 Session 默认时长为准,Session 默认的超时为 30 分钟,可以在 tomcat的web.xml 设置,代码和图示如下:

<session-config>
    <session-timeout>30</session-timeout>
</session-config>

补充知识:
Session的钝化与活化

钝化:在服务器正常关闭后,Tomcat会自动将Session数据写入硬盘的文件中
活化:再次启动服务器后,从文件中加载数据到Session中

对Session生命周期的理解:

与Cookie的生命周期不同的是,Session的生命周期指的是客户端/浏览器两次请求最大间隔时长,而不是累积时长。
如果在允许的间隔时间内,客户端访问了自己的session,则会从0重新计时。

3.4 如何理解Session底层是基于Cookie实现的?

在浏览器没有任何Cookie信息时,向服务端发送请求的时候,会通过request.getSession()创建会话对象。服务器每次创建会话对象的时候,都会创建一个Cookie对象,其Key是:JSESSIONID,Value是新创建的Session的id值。

于是,服务端通过响应的方式把新创建的Session的id返回给客户端,当浏览器解析到数据后,马上就会创建一个Cookie对象。

而后,浏览器已经有了相应的Cookie信息,每次请求,都会把Session的id以Cookie的形式发送给服务器,而服务器则会通过id值找到之前创建好的Session对象并返回。

示意图如下:


写在最后

 本文部分内容参考:会话的概述 好了,本文内容到这里就告一段落了,欢迎大家订阅专栏,加入JavaWeb学习!点击订阅

 如果你有任何问题,欢迎私信,感谢您的支持!


转载:https://blog.csdn.net/m0_60353039/article/details/127608502
查看评论
* 以上用户言论只代表其个人观点,不代表本网站的观点或立场