Cookie和Session总结
Cookie概述
Cookie是什么?
Cookie是一小段文本信息,伴随着用户请求和页面在Web服务器和浏览器之间传递.Cookie包含每次用户访问站点时Web应用程序都可以读取的信息.
为什么需要Cookie?
因为HTTP协议是无状态的,对于一个浏览器发出的多次请求,WEB服务器无法区分是不是来源于同一个浏览器.所以,需要额外的数据用于维护会话.Cookie正是这样的一段随HTTP请求一起被传递的额外数据.
Cookie能做什么?
Cookie只是一段文本,所以它只能保存字符串.而且浏览器对它有大小限制以及它会随着每次请求被发送到服务器,所以应该保证它不要太大.Cookie的内容也是明文保存的,有些浏览器提供界面修改,所以,不适合保存重要的或者涉及隐私的内容
每个浏览器都有一个保存Cookie的文件,这个Cookie是保存在客户端的..我们访问一个网站的时候返回的不仅是html页面,同时返回的还有一个文件:cookie.所以,每当我们用浏览器访问一个页面时,会先从cookie里面遍历,看有没有,如果有就会带上.
可以使用Cookie
的setXXX方法来设定一些相应的值
setName(String name)/getName()
setValue(String value)/getValue()
setMaxAge(int age)/getMaxAge()
利用HttpServletResponse的addCookie(Cookie)方法将它设置到客户端
利用HttpServletRequest的getCookies()方法来读取客户端的所有Cookie,返回一个Cookie数组
设置Cookie
SetCookies.java
读取Cookie
ShowCookies.java
通过下面这段代码设置Cookie:
public class _06_ServletCookie extends HttpServlet { private static final long serialVersionUID = 1L; @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { for (int i = 0; i < 6; i++) { Cookie cookie = new Cookie("Session-Cookie-" + i, "Cookie-Value:" + i); resp.addCookie(cookie); //只有用 javax.servlet.http.Cookie.setMaxAge() 函数设置了生命周期的cookie才会写进客户端电脑的硬盘中 //这种的只要不过期,cookie就会存在 //如果没有设置生命周期的,只会保存在浏览器域的内存中,浏览器一关闭,就会被删除 Cookie cookie2 = new Cookie("Persistent-Cookie-" + i, "Cookie-Value-P"+i); cookie2.setMaxAge(3000); //通过 javax.servlet.http.HttpServletResponse.addCookie();当时把cookie发送给客户端 resp.addCookie(cookie2); } resp.setContentType("text/html;charset=utf-8"); PrintWriter out = resp.getWriter(); String title = "Setting Cookie"; out.println( "<html><head><title></title></head>" + "<body>\n" + "<h1 align='center'>" + title + "</h1>\n" + "To See them,visit the\n" + "<a href='_07_ShowCookies'>\n" + "<CODE>ShowCookie</CODE>Servlet</a>" + "</body></html>"); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { doPost(req, resp); } }
通过下面这段代码来显示我们设置的Cookie信息
public class _07_ShowCookies extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { resp.setContentType("text/html;charset=utf-8"); PrintWriter out = resp.getWriter(); String title = "Active Cookie"; out.println( "<html><head><title>接受客户端Cookie</title></head>" + "<body><h1>"+title+"</h1>" + "<table align='center' border=1>\n" + "<tr><th>Cookie Name</th><th>Cookie value</th></tr>" ); Cookie[] cookies = req.getCookies(); if(cookies != null){ Cookie cookie; for (int i = 0; i < cookies.length; i++) { cookie = cookies[i]; out.println( "<tr>\n" + "<td>" + cookie.getName() + "</td>" + "<td>" + cookie.getValue() + "</td></tr>\n" ); } out.println("</table></body></html>"); }else{ out.println("<tr><td colspan='2'>没有本网站的Cookie</td></tr>"); out.println("</table></body></html>"); } } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { doGet(req, resp); } }
运行之前我们先看看浏览器保存的Cookie,由于我之前清空了Cookie,所以这里显示没有保存Cookie
然后我们运行代码,先运行_06_ServletCookie,设置Cookie,
再看看浏览器保存的Cookie
然后点击_06_ServletCookie中的超链接,我们设置的Cookie全部显示出来了
在_06_ServletCookie中一共设置了2种Cookie,一种有时间限制,一个没有设置时间.
这里关闭浏览器,然后直接进入_07_ShowCookies中
"
通过结果我们可以看出,没有设置时间的Cookie没有了,而设置时间的Cookie依然存在.所以如果Cookie没有设置时间限制的话,浏览器一关闭,保存的Cookie会自动删除
如果不运行_06_ServletCookie直接运行_07_ShowCookies呢?
显示没有保存的Cookie,因为没有设置Cookie
Session
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构来保存信息.
当程序需要为某个客户端请求创建一个session的时候,服务器首先检查这个客户端的请求里是否包含了一个session表示,成为sessionid,如果已包含一个sessionid则说明以前已经为此客户端创建过session,服务器就按照sessionid把这个session检索出来使用,如果客户端请求不包含sessionid,则为此客户端创建一个session并且生成一个与此session相关联的sessionid,sessionid的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个sessionid将被在本次响应中返回给客户端
如果浏览器支持Cookie,创建Session的时候会把SessionID保存在Cookie里
如果不支持Cookie,必须自己编程使用URL重写的方法实现Session
public class _08_SetSessionServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { //设置MIME类型为text/html resp.setContentType("text/html;charset=utf-8"); //获取当前的Session,如果没有可以创建 //getSession(),如果为false,没有Session也不会创建 //如果为true:没有Session就会创建一个 HttpSession mySession = req.getSession(true); PrintWriter out = resp.getWriter(); //生成html文档 out.println("<html><head><title>Session Info Servlet</title></head>" + "<body><h3>session information</h3>" + "<b>New Session:</b>" + mySession.isNew() + "</br><b>SessionID:</b>" + mySession.getId() //显示Session的创建时间 + "</br><b>Session Create Time:</b>" + new java.util.Date(mySession.getCreationTime()) //显示Session最后接受的时间 + "</br><b>Session last accessed time:</b>" + new java.util.Date(mySession.getLastAccessedTime()) + "<h3>Request Information</h3>" //返回随客户端请求到来的会话ID.可能与当前的会话ID相同,也可能不同 + "</br><b>Session ID from request:</b>" + req.getRequestedSessionId() //当前的Session ID如果是从Cookie获得,为true + "</br><b>SessionID via Cookie:</b>" + req.isRequestedSessionIdFromCookie() //当前Session ID如果是由URL获得,为true + "</br><b>SessionID via rewrite URL:</b> " + req.isRequestedSessionIdFromURL() //当前客户端的会话ID代表的是有效会话,则返回true.否则(比如,会话过期或根本不存在),返回false + "</br><b>valid SessionID:<b>" + req.isRequestedSessionIdValid() + "<br><a href=" + resp.encodeUrl("_08_SetSessionServlet") + ">refresh</a>" + "</body></html>"); out.close(); } @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { doGet(req, resp); } }
先看看浏览器保存的Cookie,我之前清空了,所以这里为空
运行代码
可以清楚的看到Session
ID的信息.
再看下浏览器保存的Cookie
这里只保存了一个"JSESSIONID",这个相当于一个人的身份证号,通过这个身份证好可以在服务器中找到保存的这个人的各种信息.
刷新一下试试
可以看到 New Session:
Session last
accessed time:
SessionID via Cookie:
valid
SessionID:
这些信息都变了
浏览器设置为不接受Cookie,点refresh刷新:
SessionID via rewrite URL:
这个信息就会变为true
因为我们是通过Cookie中的SessionID浏览上次的网页的.
Session总结
1.服务器的一块内存(存key-value)
2.和客户端窗口对应(子窗口)(独一无二)
3.客户端和服务器有对应的SessionID
4.客户端向服务器端发送SessionID的时候两种方式:
1.cookie(内存cookie)
2.rewriten URL
5.浏览器禁掉cookie,就不能使用session(使用cookie实现的session)
6.如果想安全的使用session(不论客户端是否禁止cookie),只能使用URL重写(大大增加编程负担),所以很多网站要求客户端打开cookie
