会话
一、简介
客户端服务器连接开始,请求和响应的过程中都属于?次会话。客户端和服务器交流的过程,这个过程是?个持续的过程,当关闭客户端或者服务器 该次会话结束。再次过程中都属于同?次会话,不管访问时哪个??或者 哪个Servlet都属于该会话 ?次会话指的是:就好?打电话,A给B打电话,接通之后,会话开始,直到挂断电话,该次会话就结束了,?浏览器访问服务器,就跟打电话?样,浏览器A给服务器发送请求,访问web程序,该次会话就已经接通,其中不管浏览器发送多少请求(就相当于接通电话后说话?样),都视为?次会话,直到浏览器关闭,本次会话结束。其中注意,?个浏览器就相当于?部电话,如果使??狐浏览器,访问服务器,就是?次会话了,然后打开google浏览器,访问服务器,这是另?个会话,虽然是在同?台电脑,同?个?户在访问,但是,这是两次不同的会话。
二、作用、
因为HTTP协议是?状态的,所以很显然服务器不可能知道我们已经在上?次的HTTP请求中通过了验证。当然,最简单的解决?案就是所有的请求??都带上?户名和密码,这样虽然可?,但??加重了服务器的负担(对于每个request都需要到数据库验证),也??降低了?户体验(每个??都需要重新输??户名密码,每个??都带有登录表单)。既然直接在请求中带上?户名与密码不可?,那么就只有在服务器或客户端保存?些类似的可以代表身份的信息了,所以就有了cookie与session,cookie和session?来跟踪?户的整个会话。
在程序中,会话跟踪是很重要的事情。理论上,?个?户的所有请求操作都应该属于同?个会话,?另?个?户的所有请求操作则应该属于另?个会话,?者不能混淆。例如,?户A在超市购买的任何商品都应该放在A的购物?内,不论是?户A什么时间购买的,这都是属于同?个会话的,不能放??户B或?户C的购物?内,这不属于同?个会话。
?Web应?程序是使?HTTP协议传输数据的。HTTP协议是?状态的协议。?旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建?新的连接。这就意味着服务器?法从连接上跟踪会话。即?户A购买了?件商品放?购物?内,当再次购买商品时服务器已经?法判断该购买?为是属于?户A的会话还是?户B的会话了。要跟踪该会话,必须引??种机制。Cookie和session就是这样的?种机制。它可以弥补HTTP协议?状态的不?。
三、Cookie
3.1、理解
Cookie:本意是?点? ?甜点 ?饼?。
创建?个cookie,即servlet发送到Web浏览器的少量信息,由浏览器保存,然后发送回服务器。cookie的值
可以唯?标识客户端,因此cookie通常?于会话管理。
3.2、原理
那么如何跟踪会话呢,我们需要掌握该会话的原理就清楚了:
原理:
Cookie是解决HTTP?状态性的有效?段,服务器可以设置或读取Cookie中所包含的信息。当?户登录后,
服务器会发送包含登录凭据的Cookie到?户浏览器客户端,?浏览器对该Cookie进?某种形式的存储(内存或硬盘)。?户再次访问该?站时,浏览器会发送该Cookie(Cookie未到期时)到服务器,服务器对该凭据进?验证,合法时使?户不必输??户名和密码就可以直接登录。
本质上讲,Cookie是?段?本信息。客户端请求服务器时,如果服务器需要记录?户状态,就在响应?户请求时发送?段Cookie信息。客户端浏览器保存该Cookie信息,当?户再次访问该?站时,浏览器会把Cookie做为请求信息的?部分提交给服务器。服务器检查Cookie内容,以此来判断?户状态,服务器还会对Cookie信息进?维护,必要时会对Cookie内容进?修改。
简??之我们可以这么理解:
当从浏览器发送请求到服务器后,servlet创建cookie,保存少量数据,发送浏览器。
浏览器获得服务器发送的cookie数据,将?动的保存到浏览器端。
下次访问时,浏览器将?动携带cookie数据发送给服务器。
浏览器查看Cookie的?式:
3.3、使用
1、Cookie创建
Cookie cookie = new Cookie(String key,String value);key:表示cookie的名字
value:表示cookie中保存的数据
2、设置有效时间 不受浏览器关闭的影响
为何要设置有效时间呢?因为浏览器关闭后该会话就结束了,因此要设置有效时间来保证浏览器关闭后
Cookie会话还存在,单位为秒
cookie.setMaxAge(int expiry);
默认值为 -1 :代表浏览器关闭后,也就是会话结束后,cookie就失效了,也就没有了;
expiry>0 :代表浏览器关闭后,cookie不会失效,仍然存在。并且会将cookie保存到硬盘中,直到设置时
间过期才会被浏览器?动删除;
- expiry=0:删除cookie。不管是之前的expiry=-1还是expiry>0,当设置expiry=0时,cookie都会被
浏览器给删除。
3、 设置有效路径
有效路径 默认路径 :创建cookie的Servlet的上?层路径
cookie.setPath("/应?名/xx");
哪些Servlet可以获取该cookie: 访问路径为/应?名/xx以及其?路径都可以访问到
4、发送给浏览器
response.addCookie(cookie);
5、获取Cookie
Cookie[] cookies = request.getCookies(); if(cookies!=null) { for (Cookie cookie : cookies) { // 获取cookie的名称 String name = cookie.getName(); // 获取cookie的值 String value = cookie.getValue(); System.out.println(name+":::"+value); } }
3.4、特点
1、Cookie中只能以键值对的形式保存字符串类型的数据
2、Cookie中保存的数据有??限制,?般不超过4KB
3、Cookie是保存在客户端的,安全性较差
4、Cookie默认有效期是浏览器关闭即销毁,所以如果想持久保存Cookie对象,?定要设置有效期,并且有效期时间单位是秒。
3.5、使用场景
1、记住?户名
登录时,在服务器端获取到?户名,然后创建?个cookie,将?户名存?cookie中,发送回浏览器端,然后浏览器下次在访问登录??时,先拿到cookie,将cookie中的信息拿出来,看是否保存了该?户名,如果保存了,那么直接?他,如果没有,则???写?户名。cookie需要将所有信息都保存在客户端。因此cookie存在着?定的安全隐患,例如本地cookie中保存的?户名和密码被破译,或cookie被其他?站收集。
2、历史记录
?如购物?站,都会有我们的浏览记录的,实现原理其实也是?cookie技术,每浏览?个商品,就将其存?
cookie中,到需要显示浏览记录时,只需要将cookie拿出来遍历即可。
3.6、案例、记住账号
// 我们通过代码演示使?场景中的第?种需求:
// 代码示例:
SaveUserServlet代码:
@WebServlet("/login")
public class SaveUserServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp) throws
ServletException, IOException {
//解决中?乱码处理
req.setCharacterEncoding("utf-8");
resp.setContentType("text/html;charset=utf-8");
//模拟?户的登录场景,假设给定?户名和密码 ?户名:admin 密码:123456
//1.获取表单数据
String username = req.getParameter("username");
String password = req.getParameter("password");
//2.登录判断
if("admin".equals(username)&&"123456".equals(password)){
//登录成功-->将?户的信息保存到Cookie中,下次登录时不需要填写?户名及密码了
Cookie c1 = new Cookie("name",username);
Cookie c2 = new Cookie("pwd",password);
//设置?存时间
c1.setMaxAge(60*60*24*7);
c2.setMaxAge(60*60*24*7);
//返回给浏览器保存
resp.addCookie(c1);
resp.addCookie(c2);
resp.sendRedirect("login_success.jsp");
}else{
//登录失败,重新登录,并给提示
req.setAttribute("msg","?户名或者密码不正确");
req.getRequestDispatcher("login.jsp").forward(req,resp);
}
}
}
// 登录??login.jsp:
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html> <head> <title>登录??</title>
</head> <body>
<%
//获取浏览器Cookie
Cookie[] cookies = request.getCookies();
if(cookies!=null){
//遍历每?个Cookie找到保存?户信息的Cookie
for(Cookie c:cookies){
if("name".equals(c.getName())){
//获取cookie中保存的?户名
String uname = c.getValue();
//保存到page共享域中
pageContext.setAttribute("username",uname);
}
if("pwd".equals(c.getName())){
String upwd = c.getValue();
pageContext.setAttribute("password",upwd);
}
}
}
%>
<form action="login">
<span id="msg" style="color: red">${msg}</span> <br>
?户名:<input type="text" name="username" value="${username}"/> <br>
密 码:<input type="password" name="password"
value="${password}"/> <br>
<input type="submit" value="登录">
</form>
</body>
</html>
登录成功?? login_success.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html> <head> <title>登录成功??</title>
</head> <body>
欢迎?户登录成功!!!
</body>
</html>
演示效果:
登录失败效果:
登录成功后再?次访问登录??的效果
四、Session
3.1、理解
可以跨多个??请求或访问?站来识别?户,并存储有关该?户的信息。servlet容器使?此接?在HTTP客户端和HTTP服务器之间创建会话。会话将在指定的时间段内持续,跨越?户的多个连接或??请求。?个会话通常对应于?个?户,该?户可能会多次访问?个站点。服务器可以通过多种?式维护会话,例如使cookie或重写URL。
3.2、原理
?先浏览器请求服务器访问web站点时,程序需要为客户端的请求创建?个session的时候,服务器?先会检查这个客户端请求是否已经包含了?个session标识、称为SESSIONID,如果已经包含了?个sessionid则说明以前已经为此客户端创建过session,服务器就按照sessionid把这个session检索出来使?,如果客户端请求不包含session id,则服务器为此客户端创建?个session并且?成?个与此session相关联的session id,sessionid 的值应该是?个既不会重复,?不容易被找到规律以仿造的字符串,这个sessionid将在本次响应中返回到客户端保存,保存这个sessionid的?式就可以是cookie,这样在交互的过程中,浏览器可以?动的按照规则把这个标识发回给服务器,服务器根据这个sessionid就可以找得到对应的session
在运?记住密码项?时,通过浏览器查看我们发现Cookie中保存处理?户名和密码外,还有?个JSESSIONID,这个就是发送请求时创建的session对象对应的id。
3.3、使用
1、获取session对象
HttpSession session = request.getSession();
2、保存数据到session中
session.setAttribute(String 绑定名, Object 绑定值);
3、获取session数据
Object session.getAttribute("绑定名");
4、有效时间 单位秒 默认30分钟,可以去tomcat中conf下web.xml?件查看
session.setMaxInactiveInterval(int expiry);
5、销毁session对象
session.invalidate();
3.4、特点
1、存储在服务器端
2、默认超时时间为30分钟
3、Session做为第??域对象,在?个会话范围内的数据是可以共享的
4、Session存储的数据可以是任意类型
3.5、使用场景
1、?户登录时的安全校验
2、 购物?
3.6、购物车案例
四、Cookie 和 Session 的区别
1、 Cookie和Session都是会话技术,Cookie是运?在客户端,Session是运?在服务器端。
2、 Cookie有??限制以及浏览器在存cookie的个数也有限制,Session是没有??限制和服务器的内存??
有关。
3、 Cookie只能保存字符串数据,Session可以保存任意类型数据
4、 Cookie有安全隐患,通过拦截或本地?件找得到你的cookie后可以进?攻击。
5、Session是保存在服务器端上会存在?段时间(默认30分钟)才会消失,如果session过多会增加服务器的压
和 Session 的区别
1、 Cookie和Session都是会话技术,Cookie是运?在客户端,Session是运?在服务器端。
2、 Cookie有??限制以及浏览器在存cookie的个数也有限制,Session是没有??限制和服务器的内存??
有关。
3、 Cookie只能保存字符串数据,Session可以保存任意类型数据
4、 Cookie有安全隐患,通过拦截或本地?件找得到你的cookie后可以进?攻击。
5、Session是保存在服务器端上会存在?段时间(默认30分钟)才会消失,如果session过多会增加服务器的压
?。
