Servlet Cookie、Session
HTTP不能保持连接,可使用会话保存用户信息。
常用的会话技术有2种:Cookie、Session。
Cookie
1、原理
当用户第一次访问某个网站时,服务器设置Cookie,存储用户信息,放在响应头字段中,随HTTP响应传给浏览器,浏览器把Cookie存储到本地计算机上。
当用户再次访问该网站时,浏览器先在本地计算机上查找该网站的Cookie,如果有,放在请求头中,随HTTP请求一起发送给该网站的服务器。服务器解析Cookie,获取该用户的信息,进行相关操作。
服务器可重新设置Cookie,随HTTP响应传递给浏览器,由浏览器更新本地的cookie。
2、常用方法
- Cookie(String name, String value) //构造函数,name、value均为String。创建一个Cookie后,它的name不能被更改。
- Cookie[] cookies = request.getCookies(); //获取请求头中的所有Cookie
- void setValue(String value) //Cookie的name不能被修改,所以没有setName()方法
- void setMaxAge(int expiry) //设置此Cookie的有效期,从当前时间起,在浏览器上多少秒内有效。
缺省时默认只在本次会话期间有效,当我们关闭此浏览器时,会话结束,此Cookie失效,注意是关闭浏览器整个程序,不是关闭浏览器某个窗口。
为0时,浏览器会立即清除此Cookie。
为负整数时,此Cookie只在本次会话期间有效。
- void setPath(String url) //设置此Cookie的作用页面。缺省时默认只对当前页面所在目录有效。
比如包servlet下有一个LoginServlet,我在LoginServlet中设置了一个Cookie,如果不给这个Cookie设置path,则默认此Cookie只在servlet包中有效(servlet包下的所有页面均可使用此Cookie)。设置为全站可用:cookie.setPath("/"),本站所有页面均可使用此Cookie。
这个不常用,因为Cookie一般都是作用于当前网站。
- void setDomain(String domain) //设置此Cookie作用的网站(隶属于哪个网站),缺省时默认为当前网站。
浏览器访问一个url之前,会先根据url中的domain查找本地计算机上所有属于该domain的Cookie,把这些Cookie都加到请求头中,发送给该网站的服务器。
比如我设置一个Cookie的domain为百度: cookie.setDomain(".baidu.com"); (需要去掉www)
浏览器访问百度这个网站上的页面时,会把此Cookie添加到请求头中,随请求一同发送给百度的服务器。
- response.addCookie(Cookie cookie); //把一个Cookie添加到响应头中,这样Cookie才会被传递给浏览器。
- String getName()
- String getValue()
- String getMaxAge()
- String getPath()
- String getDomain()
3、使用示例
1 @WebServlet("/testServlet") 2 public class TestServlet extends HttpServlet { 3 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 4 doGet(request,response); 5 } 6 7 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 8 request.setCharacterEncoding("utf-8"); 9 response.setContentType("text/html;charset=utf-8"); 10 PrintWriter writer = response.getWriter(); 11 12 String name=null; 13 Cookie[] cookies = request.getCookies(); 14 if(cookies!=null){ 15 for(int i=0;i<cookies.length;i++){ //用增强的for循环写遍历更简单 16 if(cookies[i].getName().equals("name")){ //获取用户名 17 name = cookies[i].getValue(); 18 writer.write(cookies[i].getValue()+",你好!"); 19 } 20 } 21 } 22 if(name==null){ 23 writer.write("请先登录,3秒后将自动跳转到登录页面"); 24 response.setHeader("refresh","3;url=./login.jsp"); 25 } 26 27 28 } 29 }
1 String name="chy"; //注册|登录成功后,从表单获取用户信息,存储到Cookie中。这里只是模拟获取到的用户名。 2 Cookie cookie=new Cookie("name",name); 3 cookie.setMaxAge(60*60*24*365); //一年有效 4 cookie.setPath("/"); //全站可用,本站的所有页面都可以使用此Cookie获取用户名 5 response.addCookie(cookie); //需要添加到response中才会生效。如果要设置、更新多个Cookie,需要一个一个地添加
4、Cookie的2种更新方式
1 //遍历,获取指定的Cookie。 2 for (Cookie cookie:cookies){ 3 if (cookie.getName().equals("name")){ 4 cookie.setValue("chy"); //使用setXxx()修改Cookie 5 response.addCookie(cookie); //必须使用此句代码才会同步到浏览器 6 } 7 }
1 //使用同名的Cookie来覆盖 2 Cookie nameCookie=new Cookie("name","chy"); 3 nameCookie.setMaxAge(60*60*24*365); 4 nameCookie.setPath("/"); 5 response.addCookie(nameCookie);
Cookie存储的是一个键值(name/value)对,浏览器端存储的Cookie由键(name)唯一标识。所以可以使用同名覆盖来更新Cookie。
但新创建的Cookie,如果不设置maxAge、path,会使用默认值。如果只更新Cookie的value,还需要设置maxAge、path,以确保maxAge、path不变。
5、在Chrome中查看当前网站Cookie的4种方式
(1)点击地址栏中的带圈的i或者小锁
小锁表示此网站是安全的,带圈的i表示此网站是不安全的。
点击某个Cookie,再点删除,可删除该Cookie。
点击该网站的域名,再点删除,会删除该网站所有的Cookie。
点击该网站的域名,再点禁止,该网站不能在此计算机上存储Cookie(浏览器会自动删除该网站已存储的Cookie)。
(2)f12 -> Application -> Storage -> Cookies
(3)f12 -> Console -> 输入 document.cookie 可查看本网站所有的Cookie,输入 document.cookie="" 即可修改Cookie。
这种方式设置的是整个网站的Cookie,不是某个Cookie。所以一般是把document.cookie得到的值复制下来,修改里面的某些Cookie,然后以字符串的形式赋给document.cookie。
(4)设置 -> 高级 -> 隐私设置和安全性 -> 网站设置 -> Cookie -> 查看所有Cookie和网站数据
说明
- Cookie由浏览器自己存储,各浏览器之间不共享Cookie。
比如我在Chrome中打开了某网站,该网站在Chrome中存储了Cookie,这些Cookie算是Chrome的私有数据,其它浏览器读取不到(不会共享给其它浏览器)。
- 有时,浏览器会自动给一些网站设置一些额外的Cookie,比如_ga,_gid。
Session
1、原理
使用Cookie把会话信息保存在浏览器上,每次HTTP请求都要把Cookie添加到请求头中,服务器要从request中逐一解析Cookie,如果Cookie很多,速度会很慢。
Session是把会话信息保存在服务器上内存中,使用SessionId来唯一标识会话信息。把SessionId作为Cookie保存到浏览器上,浏览器访问页面时,会自动把该网站的SessionID这个Cookie添加到请求头中,随HTTP请求发送给服务器。服务器根据SessionId调取相应的Session,获取会话信息。
2、超时管理
当浏览器第一次访问该网站时,该网站的服务器上会创建一个Session对象来存储会话信息。
但服务器不知道浏览器会不会还会再次访问服务器,这个Session还要不要保留。如果一直保留,服务器上的Session对象会越来越多,最终耗尽服务器内存。
服务器可以设置超时时间,tomcat -> conf ->web.xml -> <session-config>:
<!-- ==================== Default Session Configuration ================= --> <!-- You can set the default session timeout (in minutes) for all newly --> <!-- created sessions by modifying the value below. --> <session-config> <session-timeout>30</session-timeout> </session-config>
默认为30分钟。如果30分钟内,该Session没有被使用,(客户端没有再次访问),服务器会自动清除该Session,原来的会话信息丢失。
之后浏览器再次访问服务器时,request中有SessionId,但服务器上没有对应的Session对象,服务器会自动创建一个新的Session对象,把新的SessionId添加到响应头中,覆盖掉浏览器中原来的SessionId。
3、HttpSession的常用方法
- HttpSession request.getSession(true) //从request中获取HttpSession对象。参数是一个boolean,表示request没有获取到HTTPSession对象怎么处理,true——自动创建并返回一个HttpSession对象,false——不自动创建,直接返回null。
- HttpSession request.getSession() //从request中获取HttpSession对象,如果不存在,则自动创建并返回。一般用这个。
这2个方法的执行过程(第一个的参数为true):
从遍历request中的Cookie,找到JSESSIONID这个Cookie,获取值(SessionId),根据值获取服务器内存中相应的Session对象,并返回这个Session对象。
如果没有获取到Session对象(首次访问或Session超时已被清除),则自动创建一个新的Session对象并返回,创建新的Session对象时,会产生一个新的SessionId,服务器会自动把这个SessionId作为Cookie添加到响应头中。
- String session.getId() //获取创建新Session时产生的SessionId。
- session.setAttribute(String name, Object value) //往指定Session中存储数据
- Object session.getAttribute(String name)
- void session.removeAttribute(String name)
- void session.invalidate() //强制使此Session对象失效,会删除此Session对象。除了等超时管理的时间到使Session失效,还可以用此方法使Session立刻失效。
4、使用示例
HttpSession session = request.getSession();
session.setAttribute("name","张三");
如果request中没有SessionId,或者request中有SessionId,但服务器内存中没有对应的Session(Session超时被清除),那么服务器会自动创建Session,并会自动创建 Cookie cookie=new Cookie("JSESSIONID",session.getId()) 这个Cookie,把这个cookie添加到响应头传回给浏览器,保存到客户端计算机上。
有一个问题:这个Cookie没有显式设置有效期,默认本次会话结束时Cookie失效。如果中途把浏览器关了,没到超时时间(Tomcat默认为30min),服务器上Session仍在,但保存SessionId的Cookie已经失效了,服务器从request中读取不到SessionId,也就找不到对应的Session。就是说如果中途关闭浏览器,会话信息会丢失。
解决方式:显式设置Cookie的有效期。
HttpSession session = request.getSession(); Cookie cookie=new Cookie("JSESSIONID",session.getId()); //name要用JSESSIONID,J表示Java cookie.setMaxAge(60*60*24*365); //显式设置SessionId的有效期 response.addCookie(cookie); //此句代码尽量靠前(早点添加到响应消息头中) PrintWriter writer = response.getWriter();
这样,访客中途关掉浏览器,再次打开浏览器进行访问时,会话信息依然在。
HttpSession session = request.getSession(); String name =(String) session.getAttribute("name"); //返回值是Object