会话跟踪用来跟踪用户的整个会话,常用的是Session和Cookie。Cookie通过客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
1.Cookie
1.1概念及使用方法
Cookie实际上是一小段文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来,当浏览器再请求该网站时,把请求的网址连同该Cookie一同交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。
java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Coolkie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的所有Cookie(Cookie[]),通过response.addCookie(Cookie cookie)向客户端设置Cookie。
Cookie对象使用key-value属性对的形式保存用户状态,一个Cookie对象保存一个属性对,一个request或者response同时使用多个Cookie。因为Cookie类位于包javax.servlet.http.*下面,所以JSP中不需要import该类。
1.2不可跨域名性
根据域名的不同,网站只能操作自己的Cookie,这是由客户端浏览器决定的。
1.3Unicode编码:保存中文
使用时可以用如下语句生成Cookie 及从Cookie中取值
Cookie cookie = new Cookie(URLEncoder.encode("姓名","UTF-8"));
String cookieName=URLDecoder.decode(cokie.getName()),"UTF-8";
1.4BASE64编码:保存二进制图片
//in
byte binary;//输入流输入图片
String content = BASE64Encoder.class.newInstance().encode(binary);
Cookie cookie=new Cookie("file", content);
//out
byte[] binary=BASE64Decoder.class.newInstance().decodeBuffer(cookie.getValue(),.replace(" ",""));
response.getOutputStream().write(binary);
1.5Cookie的所有属性
1.6Cookie的有效期
Cookie的maxAge决定着Cookie的有效期,单位为妙。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。
如果maxAge属性为正数,则表示该Cookie会在maxAge秒之后自动失效。浏览器会将其写到对应的Cookie文件中,下面的Cookie信息将永远有效。
cookie.setMaxAge(Integer.MAX_VALUE);
如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie失效。不会被写入Cookie文件中。
1.7删除和修改
如果maxAge为0,则表示删除该Cookie。
response对象提供的Cookie操作方法只有一个添加操作add,要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie。
1.8Cookie的域名
同一一级域名下的二级域名不可交互使用Cookie,如果想二级域名下都可以使用该Cookie,需要设置Cookie的domain参数
1.9Cookie的路径
path属性决定允许访问Cookie的路径,path属性需要使用符号“/”结尾。
1.10JavaScript操作Cookie
document.cookie可以获得本页面所有的Cookie,各Cookie之间用分号";"隔开。获取Cookie可以用split函数切Cookie字符串。
设置Cookie可以直接赋值 document.cookie = name + "=" + emcodeURI(value);
2.Session
2.1概念及使用方法
客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以。对应的类为javax.servlet.http.HttpSession。每个来访者对应一个Session对象,所有该客户的状态信息都保存在这个Session对象里。在客户端第一次请求服务器时创建。
Servlet中必须使用request来编程式获取HttpSession对象,而JSP中内置了Session隐藏对象,可以直接使用。 request.getSession()方法获取Session,使用getAttribute(String key)和setAttribute(String key, Object value)方法来读写客户状态信息。
2.2Session的生命周期
Session保存在服务器内存中,每个用户都会有一个独立的Session,因此Session里的信息应该尽量精简。Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。服务器会把长时间没有活跃的Session从内存删除,Session就自动失效。Session的超时时间为maxInactiveInterval属性,可以通过getMaxInativeInterval()获取,通过setMaxInactiveInterval(long interval)修改。Session的超时时间也可以在web.xml文件中修改,另外通过invalidate()方法可以使Session失效。
2.3Session的常用方法
2.4Session与浏览器
Http协议是无状态的,Session不能依据Http连接来判断是否是同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id,Session依据该Cookie来识别是否为同一用户。该Cookie为服务器自动生成的,它的maxAge属性一般为-1。同一机器的两个浏览器会生成两个不同的Session,但是由浏览器窗口内的链接、脚本等打开新窗口除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。
如果浏览器禁用Cookie或者不支持Cookie,就需要用到URL地址重写。
URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的ID。
3.Cookie与Session区别
Cookie只能保存ASCII字符串,如果需要存取Unicode字符或者二进制数据,需要进行UTF-8,GBK或者BASE64等方式编码。Cookie也不能直接存取Java对象。Session可以存取任何类型的数据。
Session不存在敏感信息泄露的危险,如果选用Cookie,敏感信息尽量不要写到Cookie中。
Cookie可以永久有效,Session不能实现。
并发浏览的用户非常多时,最好使用Cookie。
对于WAP应用, Session+URL地址重写。
Cookie通过设置domain属性,可以实现跨域名(二级域名),Session则不会支持跨域名。