关于Cookie和Session

Cookie概述

          1 cookie 是当你浏览每个网站时，由WEB服务器置于你硬盘上的一个非常小的文本文件，它可以记录你的用户ID号、密码、浏览过的网页、停留的时间等等。
          2 服务器通过cookie的响应头将cookie发送给客户机,其形式为名称=值
          3 客户机则以文件的形式将cookie存放在本地硬盘上,具体存储位置与浏览器相关
          4 Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。
          5 Cookie在客户端是由浏览器来管理的,浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样，因此Google不能操作Baidu.

 


Cookie的有效期


      Cookie的maxAge决定着Cookie的有效期，单位为秒（Second）。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。
      如果maxAge属性为正数，则表示该Cookie会在maxAge秒之后自动失效。
      如果maxAge为负数，则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效，关闭窗口后该Cookie即失效。

 

 


Cookie原理

        Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。



Cookie使用步骤

   使用Cookie:

      1 创建cookie对象:
        Cookie color = new Cookie(“color”,”red”);

      2 在响应中加入cookie:
          response.addCookie(color);

      3 通过request取回cookie
          Cookie[] cookie = request.getCookies();


Cookie示例
   示例:记录用户访问次数
   

 Cookie[] c = request.getCookies();

int count = 1;

if(c!=null) {      for(int i=0;i<c.length;i++) {
    
     Cookie accountCookie = c[i];
    
     if(accountCookie.getName().equals("accountCount")) {
        
        count = Integer.parseInt(accountCookie.getValue())+1;
        
        break;
        
        }
    }
}
        
response.addCookie(new Cookie("accountCount",String.valueOf(count)));



Session机制

      除了使用Cookie，Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

 


 什么是Session?

        Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
      如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

 

Session概述

     1 服务器的一块内存(存key-value)
     2 和客户端窗口对应(子窗口)(独一无二)
     3 客户端和服务器有对应的SessionID
     4 客户端向服务器端发送SessionID的时候两种方式:
           (1)cookie(内存cookie)
           (2)rewriten URL
     5 浏览器禁掉cookie,就不能使用session(使用cookie实现的session)
     6 如果想安全的使用session(不论客户端是否禁止cookie),只能使用URL重写(大大增加编程负担),所以很多网站要求客户端打开cookie

 

 实现用户登录

       Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象，所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对，通过getAttribute(Stringkey)和setAttribute(String key，Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session


Session的生命周期

       Session保存在服务器端。为了获得更高的存取速度，服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂，当大量客户访问服务器时可能会导致内存溢出。因此，Session里的信息应该尽量精简。
       Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session，也可以使用request.getSession(true)强制生成Session。
       Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。
   

Session的有效期

      由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。

会话跟踪

 

Session
       在某段时间一连串客户端与服务器端的“交易”
       在Jsp/Servlet中，如果浏览器不支持Cookie，可以通过URL重写来实现，就是将一些 额外数据追加到表示会话的每个URL末尾，服务器在该标示符与其存储的有关的该会话的数据之间建立关联。如hello.jsp?jsessionid=1234
       可以通过程序来终止一个会话。如果客户端在一定时间内没有操作，服务器会自动终止会话。
       通过HttpSession来读写Session
规则
       如果浏览器支持Cookie, 创建Session的时候会把SessionID保存在Cookie里
       如果不支持Cookie, 必须自己编程使用URL重写的方式实现Session
       response.encodeURL()
转码
      URL后面加入SessionId
      Session不象Cookie拥有路径访问的问题
      同一个application下的servlet/jsp可以共享同一个session, 前提示同一个客户端窗口.