浅谈Cookie与Session技术

时间:2021-08-29 05:39:43

一、什么是状态管理

将客户端与服务器之间多次交互当做一个整体来看,并且将多次交互所涉及的数据(状态)保存下来。

会话:当用户打开浏览器,访问多个WEB资源,然后关闭浏览器的过程,称之为一个会话,选项卡,弹出页面都属于这个会话,且共享同一个session。

注意:具体会话和浏览器版本,厂商有关,如IE7及以下,每开一个浏览器都创建一个新的session,而IE8及以上,则实现多个浏览器共享同一个session。因为IE8及以上,都共享同一个进程,只开辟一个内存空间。目前较多主流的浏览器都实现同一台主机上的多个浏览器,共享同一个进程。

二、如何进行状态管理

方式一:将状态保存在客户端。方式二:将状态保存在服务器端。

三、cookie技术(客户端技术)

(1)什么是cookie

a、cookie是一种客户端的状态管理技术b、当浏览器向服务器发送请求的时候,服务器会将少量的数据以set-cookie消息头的方式发送给浏览器,当浏览器再次访问服务器时,会将这些数据以cookie消息头的方式发送给服务器。

(2)如何创建一个cookie

Cookie c = new Cookie(String name,String value);response.addCookie(c);默认情况下,cookie保存在浏览器内存中

(3)cookie的查询

Cookie[] cookie = request.getCookies();

注意:该方法有可能返回nullString cookie.getName():查找cookie的名字String cookie.getValue():查找cookie的值

(4)cookie的生存时间

cookie.setMaxAge(int seconds):cookie的保存时间seconds>0:浏览器会将cookie保存在硬盘上,超过指定时间会删除该cookieseconds<0:缺省值,只将cookie保存在内存中,只要浏览器不关闭,cookie就一致保存,浏览器一旦关闭,cookie就会被清空。seconds=0:立即删除cookie,如要删除一个叫userID的cookie,那么可以这么做:Cookiec = new Cookie("userID","");c.setMaxAge(0);response.addCookie(c);

(5)cookie的编码问题

cookie只能保存ascii字符,对于不合法的字符(如中文)需要转换成ascii码

例:Cookie cookie3 = new Cookie("realname",URLEncoder.encode("姓名","utf-8"));

(6)cookie的路径问题

a、什么是cookie的路径问题?浏览器在向服务器发送请求时,会比较cookie的路径要与访问的服务器的路径是否匹配,只有匹配的cookie才会发送给服务器。b、cookie的默认路径默认路径等于创建该cookie的组件路径c、匹配规则浏览器要访问的路径必须是cookie的路径或者其子路径时,才会发送对应的cookied、设置cookie的路径cookie.setPath(String path)如:cookie.setPath("/appname");这样保证这个cookie可以被整个web应用访问。

(7)cookie域

setDomain:设置cookie域,指的是访问某个域的时候,才会带入cookie,访问其他域,不会带入cookie。默认会禁止该设置,因为安全性较差,如,访问baidu.com,baidu.com写一个域是google.com的cookie,那么访问google.com的时候会带入baidu.com的cookie,从而会实现攻击的效果。

(8)cookie的限制

a、cookie可以被用户禁止b、cookie不完全,敏感数据,比如密码、账号等需要加密。c、cookie的大小有限制,大约为4K左右d、cookie的个数也有限制,大约是300个左右e、每个站点最多保存20个cookief、cookie只能够保存字符串。

四、session技术(服务器端)

(1)什么是session?

a、session是一种服务器端的状态管理技术。b、session是基于cookie的技术。c、当浏览器访问服务器时,服务器会创建一个session对象(该对象有一个唯一的id号,称之为sessionId)服务器在默认的情况下,会将sessionId以cookie的方式,发送给浏览器,浏览器会将sessionId保存到内存中。当浏览器再次访问服务器时,会将sessionId发送给服务器,服务器依据sessionId就可以找到之间创建的session对象。

(2)如何获取session对象?

方式一:HttpSession s = request.getSession(boolean flag);当flag=true时,服务器会先查看请求当中有没有sessionId,如果没有,则创建一个session对象。如果有,会依据sessionId查找对应的session对象。如果找到,则返回该session对象,如果找不到,则创建一个新的session对象。当flag=false时,服务器会先查看请求当中有没有sessionId,如果没有则返回null,如果有,会依据sessionId查找对应的session对象。如果找到,则返回该session对象,如果找不到,返回null。方式二:HttpSession s = request.getSession();等价于request.getSession(true);

(3)常用方法

String serssion.getId();// 得到session的ID

session.setAttribute(String name,Object obj);// obj最好实现序列化Serializable接口,应为服务器在持久化session时,会使用java序列化协议。

session.getAttribute(String name);// 如果name不存在则返回null

session.removeAttribute(String name);// 删除session中的指定属性

(4)session超时

所谓session的超时,指的是服务器会将空闲时间过长的session对象从内存空间删除掉,原因是过多的session对象会影响程序的正常运行,会占用服务器的内存空间。大部分服务器都会有一个缺省的超时限制,一般是30分钟,可以修改服务器的缺省超时限制。如修改tomcat的session超时时间,可以在conf/web.xml中的

<session-config><session-timeout>30</session-timeout></session-config>

也可以将以上配置放到某个WEB应用的web.xml中,这样可以特定设置某个WEB应用的session超时时间。另外,还可以通过session.setMaxInactiveInterval(int seconds);设置session的超时时间。

(5)session的生命周期

session的创建:当用户访问某个可以创建session的servlet的时候,该servlet才会创建session。当session超过默认时间或用户指定的session时间后,session才会消亡。

(6)删除session

session.invalidate();

(7)持久化session方案

session默认是存储在浏览器内存中,默认时间是30分钟(根据不同的WEB服务器设置而定)。且session也是通过cookie来实现发送到浏览器内存中的。所以可以考虑用cookie来替换该session。如果用户在中途关闭浏览器的话,那么session就随着浏览器内存的释放而释放,那么如果想持久化session的话,可以考虑使用cookie技术。

Step1、获取sessionID。Step2、通过JSESSIONID,然后将sessionID的值写入cookie,在通过设置保存时间,路径,来持久化该session。

(8)URL地址编码(用户禁用cookie的解决办法)

如果用户禁用了cookie,那么在编写超链接的时候,必须使用URL编码,即:

response. encodeURL(url);

什么是URL重写?

简单的说,如果某个组件需要session机制的支持,且用户禁止了cookie,则不能直接使用该组件的地址去访问,而应该使用服务器生成的组件的地址(会在组件的地址后面添加sessionId)去访问。如何重写?

用在连接地址,表单提交地址。

response.encodeURL(String url);

如果是重定向。

sesponse.encodeRedirectURL(“list.jsp”);

这样编译过的URL地址就会自动在后面添加用户session的id号,那么所有的连接地址就会按如下格式进行输出,即每个地址都记录了用户的信息:

href='/JavaWeb/servlet/BuySession;jsessionid=283087307F0E79CC62208BDCF79FC52A'

这种方式不能实现用户数据持久化。

(9)session的相关细节

如果即使用了URL地址编码,也设置了写出cookie,那么第一次访问的时候服务器会即带入cookie同时也进行URL地址编码,当再次访问服务器时,服务器已经判断出了浏览器是否禁用了cookie,如果没有禁用,则使用cookie写入的方式,如果禁用了则使用URL地址编码的方式

(10)session的优缺点

优点:1、session相对安全。2、session能够保存的数据类型更丰富。3、session能够保存的数据大小没有限制。

缺点:1、session需要将所有数据写在服务器端,所以服务器会占用过多的内存空间,会影响服务器性能。可以考虑使用cookie或数据库来保存数据。

(11)session案例

a、session登录验证

step1、在登录成功以后,在session对象上绑定数据,比如:session.setAttribute(“user”,user);step2、对需要保护的资源(只有登录成功以后才能访问的资源,比如主页),添加session验证代码:Object obj = session.getAttribute(“user”);If(obj==null)就跳转到登录界面

b、验证码生成一个验证码,然后将验证码存储到session中,然后从session中取出验证码与客户提交的验证码进行比对,这是一个典型的session应用。