Java中的Cookie和Session详细解析
作者:我不是欧拉_
http协议无状态
无状态的官方解释:
- 协议对于事务处理没有记忆能力
- 对同一个url请求没有上下文关系
- 每次的请求都是独立的,它的执行情况和结果与之前的请求和之后的请求是无直接关系的,它不会受前面的请求应答情况直接影响,也不会直接影响后面的请求应答情况
- 服务器中没有保存客户端的状态,客户端必须每次带上自己的状态去请求服务器。
简单理解就是客户端是第二次访问服务器,服务器还是把此次访当做一个新的访问进行处理,因为服务端并不知道客户端之前是否访问过。
为了解决这一问题,Web程序中采用会话跟踪技术,会话跟踪技术就是依靠Cookie和Session实现。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
会话
一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。一次会话中包含多次请求和响应。有了会话跟踪可以在一次会话的范围内的多次请求间,共享数据。
Cookie是什么?
客户端会话技术,服务端给客户端的数据,存储于客户端(浏览器)。由于是保存在客户端上的,所以存在安全问题,并且cookie是由个数和大小限制的(4KB),所以一般cookie用来存储一些比较小且安全性要求不高的数据,而且一般数据都会进行加密。
Cookie的使用案例
记住用户名
登录时,在服务器端获取到用户名,然后创建一个cookie,将用户名存入cookie中,发送回浏览器端,然后浏览器下次在访问登录页面时,先拿到cookie,将cookie中的信息拿出来,看是否保存了该用户名,如果保存了,那么直接用他,如果没有,则自己手写用户名。
历史记录
比如购物网站,都会有我们的浏览记录的,实现原理其实也是用cookie技术,每浏览一个商品,就将其存入cookie中,到需要显示浏览记录时,只需要将cookie拿出来遍历即可。
Cookie的使用流程
创建cookie
servlet创建cookie,保存少量数据,发送浏览器。
public void login(HttpServletRequest request, HttpServletResponse response) {
String account = request.getParameter("account");
String pwd = request.getParameter("pwd");
String isRemember = request.getParameter("remember");
if (isRemember != null) {
Cookie cookie = new Cookie("account", account); // 保存账号数据
cookie.setMaxAge(1*60*60*24); // cookie存在在本地的有效时长(单位为秒) 默认为-1 表示页面关闭cookie就失效
response.addCookie(cookie);//添加到response
}
// ...省略登录逻辑
}获得cookie数据
浏览器获得服务器发送的cookie数据,将自动的保存到浏览器端。
<form action="<%=application.getContextPath()%>/login">
<%--将cookie中携带的account值赋值给value--%>
<input name="account" value="<%=cookieAccount%>"><br>
<input name="pwd"><br>
记住密码:<input type="checkbox" name="remember"> <br>
<input type="submit" value="登录">
</form>发送给服务器
下次访问时,浏览器将自动携带cookie数据发送给服务器。
Session是什么?
服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession。
Session的使用案例
登陆验证信息
用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里 需要在页面间传递 的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更 新到数据库。
Session共享
对于多网站(同一父域不同子域)单服务器,我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(blog.yoodb.com 和daohang.yoodb.com),而SessionId又分别储存在各自的Cookie中,因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改Cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是子站间的Cookie信息也同时被共享了。
Session的使用
Session的实现是依赖于Cookie的。
Cookie中有JSESSIONID这个字段,实际上首次请求网页时在请求头里是没有这个字段的,因为我们并没有创建session,当我们调用request.getSession()时,此时会创建一个session,并且将sessionId保存到cookie中,然后回写给response,所以我们发现首次创建session时的响应头中有JSESSIONID这个字段,后面的request默认都会带上JSESSIONID这个字段,而response中则不会再有该字段了。而服务器就能够根据JSESSIONID这个字段值查找对应的session。
如果浏览器禁用了cookie,那么,每次请求都会重新创建session,因为服务器没有获取到JSESSIONID这个值,也无法根据JSESSIONID的值查找相应的session,也就是说,如果客户端禁用了cookie,那么session也将失效。如图:
第一次请求:
后续请求:
总结
Cookie
1. cookie在浏览器中保存多长时间?
默认情况下在浏览器关闭后就会失效。即一次会话后就失效。因为cookie是放在浏览器缓存的,浏览器关闭会清除缓存所以cookie会失效。
要想使这个cookie在浏览器关闭后仍然有效就需要设置有效时间将其写到磁盘下。
持久化存储:
setMaxAge(int seconds)
正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效
负数:默认值
零:删除cookie信息
2. cookie共享问题?
假设在一个tomcat服务器中,部署了多个web项目,那么在这些web项目中cookie能不能共享?
默认情况下cookie不能共享setPath(String path):设置cookie的获取范围。默认情况下,设置当前的虚拟目录
如果要共享,则可以将path设置为"/"
不同的tomcat服务器间cookie共享问题?
setDomain(String path):如果设置一级域名相同,那么多个服务器之间cookie可以共享
setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享
3. Cookie的特点和作用
- cookie存储数据在客户端浏览器 3.2 浏览器对于单个cookie 的大小有限制(4kb) 以及 对同一个域名下的总cookie数量也有限制(20个)
- cookie一般用于存出少量的不太敏感的数据,在不登录的情况下,完成服务器对客户端的身份识别
Session
1. session什么时候被销毁?
- 服务器关闭.
- session对象调用invalidate() 。
- session默认失效时间 30分钟。
选择性配置修改
<session-config>
<session-timeout>30</session-timeout>
</session-config>
2. session的特点
- session用于存储一次会话的多次请求的数据,存在服务器端。
- session可以存储任意类型,任意大小的数据。
3. session与Cookie的区别
- session存储数据在服务器端,Cookie在客户端。
- session没有数据大小限制,Cookie有。
- session数据安全,Cookie相对于不安全。
到此这篇关于Java中的Cookie和Session详细解析的文章就介绍到这了,更多相关Cookie和Session内容请搜索脚本之家以前的文章或继续浏览下面的相关文章希望大家以后多多支持脚本之家!