java web cookie与session详解 前后端分离session传递

时间:2025-03-15 20:52:27

Session的生命周期和工作原理
一、什么是Session,如何使用?
Session是用于存放用户与web服务器之间的会话,即服务器为客户端开辟的存储空间。

由于客户端与服务器之间的会话是无状态的机制,Session则可用于关联访问,因此多用与用户登录等功能上。

我们可以调用request的getsession()方法来使用session,通过setAttribute()注入值:

//引号中的"xxx"为页面中name标签里的值,逗号后面的是Servlet中的变量名。
().setAttribute("xxx",xxx);//储存到session中
之后可以用getAttribute()方法来获取session中的值:

().getAttribute("xxx",xxx);//读取session中的值
若要移除Session中特定的值,可以调用removeAttribute方法,但request中的SessionID仍不变,只是其中的值发生了改变,Session还是原来的Session。

().removeAttribute("xxx");
[注]:无状态的意思是会话之间无关联性,无法识别该用户曾经访问过。

二、Session的意义何在?
Session存在的意义是为了提高安全性,它将关键数据存在服务器端。与cookie不同,cookie则是将数据存在客户端的浏览器中。

因此cookie是较为危险的,若客户端遭遇黑客攻击,信息容易被窃取,数据也可能被篡改,而运用Session可以有效避免这种情况的发生。

三、Session的生命周期
Session存储在服务器的内存中(为了高速存取)。

Session何时生效
Sessinon在用户访问第一次访问服务器时创建,需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session,可调用(true)强制生成Session。

Session何时失效
1.服务器会把长时间没有活动的Session从服务器内存中清除,此时Session便失效。Tomcat中Session的默认失效时间为20分钟。

2.调用Session的invalidate方法。

HttpSession session = ();
();//注销该request的所有session
的过期时间是从什么时候开始计算的?是从一登录就开始计算还是说从停止活动开始计算?

答:从session不活动的时候开始计算,如果session一直活动,session就总不会过期。

从该Session未被访问,开始计时; 一旦Session被访问,计时清0;

4.设置session的失效时间

a)中

<session-config>
    <session-timeout>30</session-timeout>
</session-config>
b)在程序中手动设置

(30 * 60);//设置单位为秒,设置为-1永不过期

().setMaxInactiveInterval(-1);//永不过期
c)tomcat也可以修改session过期时间,在中定义context时采用如下定义:

<Context path="/livsorder" 
docBase="/home/httpd/html/livsorder" defaultSessionTimeOut="3600" 
isWARExpanded="true"
isWARValidated="false" isInvokerEnabled="true" isWorkDirPersistent="false"/>


参考:Session过期、失效时间

[注]:若要移除Session中特定的值,可以调用removeAttribute方法,但request中的SessionID仍不变,只是其中的值发生了改变,Session还是原来的Session。↓↓↓↓↓↓↓↓

().removeAttribute("xxx");
四、Session的工作原理
虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是()的返回值)。Session依据该Cookie来识别是否为同一用户。

该Cookie为服务器自动生成的,它的maxAge属性一般为-1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。

注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择”在新窗口中打开”时,子窗口便可以访问父窗口的Session。

如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?例如,绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案:URL地址重写。

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(String url)实现URL地址重写,该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。

注意:TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。

【前面的话】

在网上经常看到有人对(false)提出疑问,我第一次也很迷惑,看了一下J2EE1.3 API,看一下官网是怎么解释的。 

【官方解释】

  getSession 

public HttpSession getSession(boolean create)

Returns the current HttpSession associated with this request or, if if there is no current session and create is true, returns a new session.

If create is false and the request has no valid HttpSession, this method returns null.

To make sure the session is properly maintained, you must call this method before the response is committed. If the container is using cookies to maintain session integrity and is asked to create a new session when the response is committed, an IllegalStateException is thrown.

Parameters: true - to create a new session for this request if necessary; false to return null if there's no current session

Returns: the HttpSession associated with this request or null if create is false and the request has no valid session

译:
getSession(boolean create)意思是返回当前reqeust中的HttpSession ,如果当前reqeust中的HttpSession 为null,当create为true,就创建一个新的Session,否则返回null;

简而言之:

(ture) 等同于 ()

(false) 等同于 如果当前Session没有就为null;

【问题和bug】:

我周围很多同事是这样写的;


需要注意的地方是() 等同于 (true),除非我们确认session一定存在或者sesson不存在时明确有创建session的需要,否则尽量使用(false)。在使用()函数,通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况,正常的判断应该是这样:

【投机取巧】:

如果项目中用到了Spring(其实只要是Java的稍大的项目,Spring是一个很好的选择),对session的操作就方便多了。如果需要在Session中取值,可以用WebUtils工具()的getSessionAttribute(HttpServletRequest request, String name)方法,看看高手写的源码吧:哈哈。。

注:Assert是Spring工具包中的一个工具,用来判断一些验证操作,本例中用来判断reqeust是否为空,若为空就抛异常。

前后端分离项目,跨域,session,token解决方案
后端代码

header('Access-Control-Allow-Origin:');
header('Access-Control-Allow-Credentials:true');

前端代码

$.post({
   url: ‘’,
   data: {
      appId: appId
   },
   dataType: "json",
   timeout:300000,
   xhrFields:{withCredentials: true},
   success: function (result) {

   },
   error: function () {

   }
});

一、cookie理解

1.特点

Cookie技术:会话数据保存在浏览器客户端。

技术核心,Cookie类:用于存储会话数据

2.1.构造Cookie对象

new Cookie( name, value)

2.2.设置cookie

void setPath( uri)   :设置cookie的有效访问路径

void setMaxAge(int expiry) : 设置cookie的有效时间

void setValue( newValue) :设置cookie的值

2.3.发送cookie到浏览器端保存

void (Cookie cookie)  : 发送cookie

2.4.服务器接收cookie

Cookie[] ()  : 接收cookie

原理(cookie不能跨浏览器查询)

3.1.服务器创建cookie对象,把会话数据存储到cookie对象中。

new Cookie("name","value");

3.2. 服务器发送cookie信息到浏览器

(cookie);

3.3.浏览器得到服务器发送的cookie,然后保存在浏览器端。

3.4.浏览器在下次访问服务器时,会带着cookie信息

3.5.服务器接收到浏览器带来的cookie信息

();

参考链接:
/lukelook/p/
/xxd851116/article/details/4296866
/chenmingxu438521/article/details/90637617
 

 

 

相关文章