Cookie与Session会话技术
一、什么是会话
会话:当用户打开浏览器,访问多个WEB资源,然后关闭浏览器的过程,称之为一个会话,选项卡,弹出页面都属于这个会话,且共享同一个session。
二、如何进行会话
方式一:将状态保存在客户端。
方式二:将状态保存在服务器端。
三、cookie技术(客户端技术)
(1)什么是cookie
a、cookie是一种客户端的状态管理技术b、当浏览器向服务器发送请求的时候,服务器会将少量的数据以set-cookie消息头的方式发送给浏览器,当浏览器再次访问服务器时,会将这些数据以cookie消息头的方式发送给服务器。
(2)如何创建一个cookie
Cookie c = new Cookie(String name,String value);response.addCookie(c);默认情况下,cookie保存在浏览器内存中
(3)cookie的查询
Cookie[] cookie = request.getCookies();
注意:该方法有可能返回nullString cookie.getName():查找cookie的名字String cookie.getValue():查找cookie的值
(4)cookie的生存时间
cookie.setMaxAge(int seconds):cookie的保存时间
seconds>0:浏览器会将cookie保存在硬盘上,超过指定时间会删除该cookie
seconds<0:缺省值,只将cookie保存在内存中,只要浏览器不关闭,cookie就一致保存,浏览器一旦关闭,cookie就会被清空。
seconds=0:立即删除cookie,如要删除一个叫userID的cookie,那么可以这么做:Cookiec = new Cookie("userID","");c.setMaxAge(0);response.addCookie(c);
(5)cookie的编码问题
cookie只能保存ascii字符,对于不合法的字符(如中文)需要转换成ascii码
例:Cookie cookie3 = new Cookie("realname",URLEncoder.encode("姓名","utf-8"));
(6)cookie的路径问题
a、什么是cookie的路径问题?浏览器在向服务器发送请求时,会比较cookie的路径要与访问的服务器的路径是否匹配,只有匹配的cookie才会发送给服务器。b、cookie的默认路径默认路径等于创建该cookie的组件路径c、匹配规则浏览器要访问的路径必须是cookie的路径或者其子路径时,才会发送对应的cookied、设置cookie的路径cookie.setPath(String path)如:cookie.setPath("/appname");这样保证这个cookie可以被整个web应用访问。
(7)cookie域
setDomain:设置cookie域,指的是访问某个域的时候,才会带入cookie,访问其他域,不会带入cookie。默认会禁止该设置,因为安全性较差,如,访问baidu.com,baidu.com写一个域是google.com的cookie,那么访问google.com的时候会带入baidu.com的cookie,从而会实现攻击的效果。
(8)cookie的限制
a、cookie可以被用户禁止b、cookie不完全,敏感数据,比如密码、账号等需要加密。c、cookie的大小有限制,大约为4K左右d、cookie的个数也有限制,大约是300个左右e、每个站点最多保存20个cookief、cookie只能够保存字符串。
四、session技术(服务器端)
(1)什么是session?
a、session是一种服务器端的状态管理技术。b、session是基于cookie的技术。c、当浏览器访问服务器时,服务器会创建一个session对象(该对象有一个唯一的id号,称之为sessionId)服务器在默认的情况下,会将sessionId以cookie的方式,发送给浏览器,浏览器会将sessionId保存到内存中。当浏览器再次访问服务器时,会将sessionId发送给服务器,服务器依据sessionId就可以找到之间创建的session对象。
(2)如何获取session对象?
方式一:HttpSession s = request.getSession(boolean flag);当flag=true时,服务器会先查看请求当中有没有sessionId,如果没有,则创建一个session对象。如果有,会依据sessionId查找对应的session对象。如果找到,则返回该session对象,如果找不到,则创建一个新的session对象。当flag=false时,服务器会先查看请求当中有没有sessionId,如果没有则返回null,如果有,会依据sessionId查找对应的session对象。如果找到,则返回该session对象,如果找不到,返回null。
方式二:HttpSession s = request.getSession();等价于request.getSession(true);
(3)常用方法
String serssion.getId();// 得到session的ID
session.setAttribute(String name,Object obj);// obj最好实现序列化Serializable接口,应为服务器在持久化session时,会使用java序列化协议。
session.getAttribute(String name);// 如果name不存在则返回null
session.removeAttribute(String name);// 删除session中的指定属性
(4)session超时
所谓session的超时,指的是服务器会将空闲时间过长的session对象从内存空间删除掉,原因是过多的session对象会影响程序的正常运行,会占用服务器的内存空间。大部分服务器都会有一个缺省的超时限制,一般是30分钟,可以修改服务器的缺省超时限制。如修改tomcat的session超时时间,可以在conf/web.xml中的
<session-config><session-timeout>30</session-timeout></session-config>
也可以将以上配置放到某个WEB应用的web.xml中,这样可以特定设置某个WEB应用的session超时时间。另外,还可以通过session.setMaxInactiveInterval(int seconds);设置session的超时时间。
(5)session的生命周期
session的创建:当用户访问某个可以创建session的servlet的时候,该servlet才会创建session。当session超过默认时间或用户指定的session时间后,session才会消亡。
(6)删除session
session.invalidate();
(7)持久化session方案
session默认是存储在浏览器内存中,默认时间是30分钟(根据不同的WEB服务器设置而定)。且session也是通过cookie来实现发送到浏览器内存中的。所以可以考虑用cookie来替换该session。如果用户在中途关闭浏览器的话,那么session就随着浏览器内存的释放而释放,那么如果想持久化session的话,可以考虑使用cookie技术。
Step1、获取sessionID。Step2、通过JSESSIONID,然后将sessionID的值写入cookie,在通过设置保存时间,路径,来持久化该session。
(8)URL地址编码(用户禁用cookie的解决办法)
如果用户禁用了cookie,那么在编写超链接的时候,必须使用URL编码,即:
response. encodeURL(url);
什么是URL重写?
简单的说,如果某个组件需要session机制的支持,且用户禁止了cookie,则不能直接使用该组件的地址去访问,而应该使用服务器生成的组件的地址(会在组件的地址后面添加sessionId)去访问。如何重写?
用在连接地址,表单提交地址。
response.encodeURL(String url);
如果是重定向。
sesponse.encodeRedirectURL(“list.jsp”);
这样编译过的URL地址就会自动在后面添加用户session的id号,那么所有的连接地址就会按如下格式进行输出,即每个地址都记录了用户的信息:
href='/JavaWeb/servlet/BuySession;jsessionid=283087307F0E79CC62208BDCF79FC52A'
这种方式不能实现用户数据持久化。
(9)session的相关细节
如果即使用了URL地址编码,也设置了写出cookie,那么第一次访问的时候服务器会即带入cookie同时也进行URL地址编码,当再次访问服务器时,服务器已经判断出了浏览器是否禁用了cookie,如果没有禁用,则使用cookie写入的方式,如果禁用了则使用URL地址编码的方式
(10)session的优缺点
优点:1、session相对安全。2、session能够保存的数据类型更丰富。3、session能够保存的数据大小没有限制。
缺点:1、session需要将所有数据写在服务器端,所以服务器会占用过多的内存空间,会影响服务器性能。可以考虑使用cookie或数据库来保存数据。
(11)session案例
a、session登录验证
step1、在登录成功以后,在session对象上绑定数据,比如:session.setAttribute(“user”,user);
step2、对需要保护的资源(只有登录成功以后才能访问的资源,比如主页),添加session验证代码:Object obj = session.getAttribute(“user”);If(obj==null)就跳转到登录界面
b、验证码生成一个验证码,然后将验证码存储到session中,然后从session中取出验证码与客户提交的验证码进行比对,这是一个典型的session应用。