java之Cookie和Session
一、会话
1、会话:一次会话中包含多次请求和响应。
- 一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止
2、功能:
- 在一次会话的范围内的多次请求间,共享数据
3、方式:
客户端会话技术:Cookie
服务器端会话技术:Session
4、http协议无状态
状态的含义:
客户端域服务器在某次会话中产生的数据,这些数据存在于缓存区中,缓存区中存储、记忆、共享一些临时数据,从而无状态就意味着,这些数据不会被保留。
无状态的官方解释:
- 协议对于事务处理没有记忆能力
- 对同一个url请求没有上下文关系
- 每次的请求都是独立的,它的执行情况和结果与之前的请求和之后的请求是无直接关系的,它不会受前面的请求应答情况直接影响,也不会直接影响后面的请求应答情况
- 服务器中没有保存客户端的状态,客户端必须每次带上自己的状态去请求服务器。
但是,通过增加cookie和session机制,现在的网络请求其实是有状态的。
在没有状态的http协议下,服务器也一定会保留你每次网络请求对数据的修改,但这跟保留每次访问的数据是不一样的,保留的只是会话产生的结果,而没有保留会话。
举例思考:
假如没有cookie没有session,http无状态的时候,当一个用户访问网站的时候,会有下面的问题:
你每访问一次需要权限的内容都需要在客户端输入用户名和密码。
你的每一次操作都要与系统底层的数据库进行交互(多次少量的访问存在非常大的性能浪费。非常容易就能想到肯定是一次大量的操作更有效率,于是就想到了缓存区)
你的非重要琐碎数据也被写进数据库中,跟你的主要数据放在一起(一次次添加和删除购物车只是跟你这次浏览,或者叫这次会话有关,是临时的数据,跟用户的主要信息无关,它们没什么价值,纯粹的冗余数据,用什么存放这些临时的数据,我们也很容易想到缓存区。)
上面就是无状态时候,会出现的问题,即使有连接,也无法解决【每一次操作都要与系统底层的数据交互】的问题,要解决【每一次操作都要与系统底层的数据库进行交互】就必须在服务端开辟一块缓存区。
二、cookie
1、概念:
客户端会话技术,服务端给客户端的数据,存储于客户端(浏览器)。由于是保存在客户端上的,所以存在安全问题,并且cookie是由个数和大小限制的(4KB),所以一般cookie用来存储一些比较小且安全性要求不高的数据,而且一般数据都会进行加密。
我们平时在登录某些网站时,关闭浏览器后再次打开登录,用户名密码等数据会自动填充在表单。
或者我们浏览淘宝的某个商品后,下次再打开发现出现的商品很多都是我们之前浏览的同类商品等。
这些都是cookie的应用场景。
2、快速入门
使用步骤:
创建Cookie对象,绑定数据
new Cookie(String name, String value)
发送Cookie对象
response.addCookie(Cookie cookie)
获取Cookie,拿到数据
Cookie[] request.getCookies()
3、实现原理
基于响应头set-cookie和请求头cookie实现
4、cookie的细节
1.一次可不可以发送多个cookie?
- 可以
- 可以创建多个Cookie对象,使用response调用多次addCookie方法发送cookie即可。
2.cookie在浏览器中保存多长时间?
默认情况下在浏览器关闭后就会失效。即一次会话后就失效。因为cookie是放在浏览器缓存的,浏览器关闭会清除缓存所以cookie会失效。
要想使这个cookie在浏览器关闭后仍然有效就需要设置有效时间将其写到磁盘下。
持久化存储:
setMaxAge(int seconds)
正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效
负数:默认值
零:删除cookie信息
3.cookie能不能存中文?
- 在tomcat 8 之前 cookie中不能直接存储中文数据。
需要将中文数据转码---一般采用URL编码(%E3)
- 在tomcat 8 之后,cookie支持中文数据。特殊字符还是不支持,建议使用URL编码存储,URL解码解析
4.cookie共享问题?
4、1假设在一个tomcat服务器中,部署了多个web项目,那么在这些web项目中cookie能不能共享?
- 默认情况下cookie不能共享
- setPath(String path):设置cookie的获取范围。默认情况下,设置当前的虚拟目录
- 如果要共享,则可以将path设置为"/"
4、2不同的tomcat服务器间cookie共享问题?
- setDomain(String path):如果设置一级域名相同,那么多个服务器之间cookie可以共享
- setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享
5、Cookie的特点和作用
cookie存储数据在客户端浏览器
浏览器对于单个cookie 的大小有限制(4kb) 以及 对同一个域名下的总cookie数量也有限制(20个)
作用:
cookie一般用于存出少量的不太敏感的数据
在不登录的情况下,完成服务器对客户端的身份识别
6、Cookie的生命周期
Cookie也是一个类,我们需要关注一下它什么时候生成什么时候消亡。这样我们才能更好的确定何时获取Cookie
Cookie的出生
当执行完这句代码的时候就代表这个Cookie诞生
Cookie cookie = new Cookie(String name,String value);
Cookie的消亡
默认情况下,在你关闭客户端后Cookie就会消失。此时你去获取cookie会返回null
如果设置了有效时间后则需要在有效时间到期后才会消亡。
7、代码示例
package com.stuwork.crowdfunding.controller; import java.util.HashMap; import java.util.HashSet; import java.util.List; import java.util.Map; import java.util.Set; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.springframework.beans.factory.annotation.Autowired; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.RequestParam; import org.springframework.web.bind.annotation.ResponseBody; import com.stuwork.crowdfunding.bean.Member; import com.stuwork.crowdfunding.bean.Permission; import com.stuwork.crowdfunding.bean.User; import com.stuwork.crowdfunding.manager.service.UserService; import com.stuwork.crowdfunding.potal.service.MemberService; import com.stuwork.crowdfunding.util.AjaxResult; import com.stuwork.crowdfunding.util.ConstUtil; import com.stuwork.crowdfunding.util.MD5Util; @Controller public class DispatcherController { @Autowired private UserService userService; @Autowired private MemberService memberService; //跳转到web-inf的index页面。 @RequestMapping("/index") public String index (){ return "index"; } //跳转到登录页面 @RequestMapping("/login") public String login(HttpServletRequest request,HttpSession session){ //判断是否需要自动登录 //如果之前登录过,cookie中存放了用户信息,需要获取cookie中的信息,并进行数据库的验证 boolean needLogin = true; String logintype = null ; Cookie[] cookies = request.getCookies(); if(cookies != null){ //如果客户端禁用了Cookie,那么无法获取Cookie信息 for (Cookie cookie : cookies) { if("logincode".equals(cookie.getName())){ String logincode = cookie.getValue(); System.out.println("获取到Cookie中的键值对"+cookie.getName()+"===== " + logincode); //loginacct=admin&userpwd=21232f297a57a5a743894a0e4a801fc3&logintype=1 String[] split = logincode.split("&"); if(split.length == 3){ String loginacct = split[0].split("=")[1]; String userpwd = split[1].split("=")[1]; logintype = split[2].split("=")[1]; Map<String, String> mapParam = new HashMap<String, String>(); mapParam.put("loginacct", loginacct); mapParam.put("userpswd", userpwd); mapParam.put("type", logintype); if("user".equals(logintype)){ User dbLogin = userService.getUserInfo(mapParam); if(dbLogin!=null){ session.setAttribute(ConstUtil.LOGIN_USER, dbLogin); needLogin = false ; } //---------------------------------- List<Permission> permissionList = userService.getUserRolePermissionByUserId(dbLogin.getId()); Permission permissionRoot = null; Set<String> uris = new HashSet<String>(); Map<Integer,Permission> map = new HashMap<Integer,Permission>(); for(Permission bean :permissionList){ map.put(bean.getId(), bean); uris.add("/"+bean.getUrl()); } for(Permission bean :permissionList){ Permission children = bean; if(bean.getPid() == 0){ permissionRoot = bean; }else{ Permission parent = map.get(children.getPid()); parent.getChildren().add(children); } } session.setAttribute(ConstUtil.PERMISSION_ROOT, permissionRoot); session.setAttribute(ConstUtil.URIS, uris); //---------------------------------- }else if("member".equals(logintype)){ Member dbLogin = memberService.getMemberInfo(mapParam); if(dbLogin!=null){ session.setAttribute(ConstUtil.LOGIN_MEMBER, dbLogin); needLogin = false ; } } } } } } if(needLogin){ return "login"; }else{ if("user".equals(logintype)){ return "redirect:/main.htm"; }else if("member".equals(logintype)){ return "redirect:/member.htm"; } } return "login"; } //@RequestParam里的value必须是前端页面name熟悉的值,login可以接收到值(和name属性值一样也可以),否则接收不到 //同步请求 /*@RequestMapping("/doLogin") public String doLogin(@RequestParam(value="loginacct") String login, String userpswd,String type,HttpSession session){ Map<String, String> map = new HashMap<String, String>(); map.put("loginacct", login); map.put("userpswd", userpswd); map.put("type", type); User user = userService.getUserInfo(map); session.setAttribute(ConstUtil.LOGIN_USER, user); //重定向到主页面,不直接返回main,是防止刷新页面重复提交表单 return "redirect:/main.htm"; }*/ //异步请求 @ResponseBody @RequestMapping("/doLogin") public Object doLogin(@RequestParam(value="loginacct") String login, String userpswd, String type, boolean rememberMe, HttpSession session, HttpServletResponse response){ AjaxResult result = new AjaxResult(); Map<String, String> mapParam = new HashMap<String, String>(); mapParam.put("loginacct", login); mapParam.put("userpswd", MD5Util.digest(userpswd)); mapParam.put("type", type); try { if("member".equals(type)){ Member member = memberService.getMemberInfo(mapParam); session.setAttribute(ConstUtil.LOGIN_MEMBER, member); if(rememberMe){ String logincode = "\"loginacct="+member.getLoginacct()+"&userpwd="+member.getUserpswd()+"&logintype=member\""; //loginacct=admin&userpwd=21232f297a57a5a743894a0e4a801fc3&logintype=1 System.out.println("用户-存放到Cookie中的键值对:logincode::::::::::::"+logincode); Cookie c = new Cookie("logincode",logincode); c.setMaxAge(60*60*24*14); //2周时间Cookie过期 单位秒 c.setPath("/"); //表示任何请求路径都可以访问Cookie response.addCookie(c); } }else{ User user = userService.getUserInfo(mapParam); session.setAttribute(ConstUtil.LOGIN_USER, user); if(rememberMe){ //服务器向客户端写Cookie时含有特殊符号,Tomcat7不需要增加双引号;Tomcat6需要增加双引号; //否则将来服务器端可能读取不到Cookie值(logincode串) String logincode = "\"loginacct="+user.getLoginacct()+"&userpwd="+ user.getUserpswd()+"&logintype=user\""; //loginacct=admin&userpwd=21232f297a57a5a743894a0e4a801fc3&logintype=1 System.out.println("用户-存放到Cookie中的键值对:logincode::::::::::::"+logincode); Cookie c = new Cookie("logincode",logincode); c.setMaxAge(60*60*24*14); //2周时间Cookie过期 单位秒 c.setPath("/"); //表示任何请求路径都可以访问Cookie response.addCookie(c); } //---------------------------------- List<Permission> permissionList = userService.getUserRolePermissionByUserId(user.getId()); Permission permissionRoot = null; Set<String> uris = new HashSet<String>(); Map<Integer,Permission> map = new HashMap<Integer,Permission>(); for(Permission bean :permissionList){ map.put(bean.getId(), bean); uris.add("/"+bean.getUrl()); } for(Permission bean :permissionList){ Permission children = bean; if(bean.getPid() == 0){ permissionRoot = bean; }else{ Permission parent = map.get(children.getPid()); parent.getChildren().add(children); } } session.setAttribute(ConstUtil.PERMISSION_ROOT, permissionRoot); session.setAttribute(ConstUtil.URIS, uris); //---------------------------------- } result.setData(type); result.setSuccess(true); } catch (Exception e) { e.printStackTrace(); result.setMessage("登录失败!"); result.setSuccess(false); } return result; } //跳转到主页面 @RequestMapping("/main") public String main(HttpSession session){ return "main"; } //跳转到主页面 @RequestMapping("/member") public String member(HttpSession session){ return "member/index"; } //跳转到首页 @RequestMapping("/logout") public String logout(HttpSession session){ session.invalidate();//销毁session对象 return "redirect:/index.htm"; } }
三、session
1、概念
服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession
2、快速入门
1. 获取HttpSession对象
HttpSession session = request.getSession();
2. 使用HttpSession对象:
Object getAttribute(String name)
void setAttribute(String name, Object value)
void removeAttribute(String name)
3、 原理
- Session的实现是依赖于Cookie的。
- cookie中有JSESSIONID这个字段,实际上首次请求网页时在请求头里是没有这个字段的,因为我们并没有创建session,当我们调用request.getSession()时,此时会创建一个session,并且将sessionId保存到cookie中,然后回写给response,所以我们发现首次创建session时的响应头中有JSESSIONID这个字段,后面的request默认都会带上JSESSIONID这个字段,而response中则不会再有该字段了。而服务器就能够根据JSESSIONID这个字段值查找对应的session。
- 如果浏览器禁用了cookie,那么,每次请求都会重新创建session,因为服务器没有获取到JSESSIONID这个值,也无法根据JSESSIONID的值查找相应的session,也就是说,如果客户端禁用了cookie,那么,每次请求得到的sessionId是不一样的。
4、细节
1. 当客户端关闭后,服务器不关闭,两次获取session是否为同一个? * 默认情况下。不是。 * 如果需要相同,则可以创建Cookie,键为JSESSIONID,设置最大存活时间,让cookie持久化保存。 Cookie c = new Cookie("JSESSIONID",session.getId()); c.setMaxAge(60*60); response.addCookie(c); 2. 客户端不关闭,服务器关闭后,两次获取的session是同一个吗? * 不是同一个,但是要确保数据不丢失。tomcat自动完成以下工作 * session的钝化: * 在服务器正常关闭之前,将session对象系列化到硬盘上 * session的活化: * 在服务器启动后,将session文件转化为内存中的session对象即可。 3. session什么时候被销毁? 1. 服务器关闭 2. session对象调用invalidate() 。 3. session默认失效时间 30分钟 选择性配置修改 <session-config> <session-timeout>30</session-timeout> </session-config>
5、session的特点
- session用于存储一次会话的多次请求的数据,存在服务器端
- session可以存储任意类型,任意大小的数据
6、session的创建和关闭
- Session创建:在你打开一个浏览器开始访问的时候,就创建了。
- Session关闭:他在你关闭浏览器的时候或者默认时间(Tomcat是30分钟)后会销毁。
7、session与Cookie的区别:
- session存储数据在服务器端,Cookie在客户端
- session没有数据大小限制,Cookie有
- session数据安全,Cookie相对于不安全