Cookie:
Http协议规定:
1个Cookie最大4kb;1个服务器最多向一个浏览器保存20个Cookie;1个浏览器最多可以保存300个Cookie。
JavaWeb中使用Cookie:
原始方式:使用response发送Set-Cookie响应头;使用request获取Cookie请求头
便捷方式:使用response.addCookie()向浏览器保存Cookie;使用request.getCookie()获取浏览器兑换的Cookie
Cookie详解:
Cookie不是只有name和value两个属性。
maxAge:Cookie的最大生命周期,即Cookie可保存的最大时长。秒为单位。例:cookie.maxAge(60)
maxAge>0:浏览器会把Cookie保存到客户端硬盘上;有效时长为maxAge值。
maxAge<0:Cookie只在浏览器内存中存在,关闭浏览器,Cookie移除。
maxAge=0:浏览器会马上移除这个Cookie
path:Cookie的path并不是设置这个Cookie在客户端的保存路径。Cookie的path由服务器创建Cookie时设置。
当浏览器访问服务器某个路径时,是否需要归还Cookie给服务器,则时由Cookie的path来决定。
当浏览器访问服务器的路径,若包含某个Cookie的路径,那么九会归还这个Cookie。
Cookie的path默认值:当前访问路径的父路径。
domain:用来指定Cookie的域名;当多个二级域共享Cookie时才有用。
Session:
HttpSession概述:
HttpSession是由JavaWeb提供的,用来会话跟踪的类。session是服务器端对象,保存在服务器端。
HttpSession是Servlet三大域对象之一,所以它也有setAttribute()、getAttribute()、removeAttribute()方法。
三大域:request、session、application(ServletContext)
作用:
会话范围:会话范围是某个用户从首次访问服务器开始,到该用户关闭浏览器结束。
会话:一个用户对服务器的多次连贯性请求;所谓连贯性请求就是该用户多次请求中间没有关闭的浏览器。
服务器会为每个客户端创建一个session对象,session就好比客户在服务器端的账户,他们被服务器保存到一个Map中,这个Map被称为session缓存。
Servlet中得到session对象:HttpSession ses=request.getSession();
JSP中得到session对象:session是JSP内置对象之一,故、不用创建可直接使用。
原理:
request.getSession():获取Cookie中的sessionId
若sessionId不存在,创建session,把session保存起来,把新创建的sessionId保存到Cookie中。
若sessionId存在,通过sessionId查找sesion对象,若干没有找到,创建session,把session保存起来,把新创建的sessionId保存到Cookie中。
若sessionId存在,通过sessionId找到了session对象,那么就不会再创建session对象。
返回session
若创建了新的session,浏览器会得到一个包含了sessionId的Cookie,这个Cookie的生命为-1,即只在浏览器内存中存在,若不关闭浏览器,那么Cookie下次请求时,再次执行request.getSession()时,因为可以通过Cookie中的sessionId找到session对象,所以与上一次请求使用的是同一session对象。
request.getSession(true)与request.getSession():这俩个方法效果相同。
request.getSession(false):若session缓存中(如果Cookie不存在),不存在session,那么返回null,而不会创建session对象。
HttpSession其他方法:
String getId();//获取sessionId int getMaxInactiveInterval();//获取session的最大不活动时间。默认30分种。 void invalidate();//让session失效。 boolean isNew();//查看session是否为新。
web.xml中配置session的有效时长:
<session-config> <session-timeout>30</session-timeout> </session-config>
URL重写:
session依赖Cookie,目的是让客户端发出请求时归还sessionId,这样才能找到对象的session。
若客户端禁用了Cookie,那么就无法得到sessionId,那么session也就无用了。
也可以使用URL重写来替代Cookie:response.encodeURL(url);
该方法会对URL进行只能的重写;当请求中没有归还sessionId这个cookie,那么该方法会重写url,否则不重写。此url必须是本站的url。