Session 和cookie机制详解

参考:

http://blog.csdn.net/fangaoxin/article/details/6952954/

http://blog.csdn.net/hjc1984117/article/details/53995816

http://www.cnblogs.com/woshimrf/p/5317776.html

一、session是什么?

  1.sessio的来源:

  浏览器打开一个网页,采用的是HTTP协议。HTTP协议是无状态的,即这一次请求和上一次请求是没有任何关联的。

  这种无状态的好处是:响应速度快。

  无状态存在的问题是:当我们希望请求的几个页面互相关联时,就会存在问题。

  例如,在登录页面登录之后,其他页面也希望保持登录状态,但是不同的页面也是不同的请求,不同请求无关,因此无法单纯判断是否已经登录了。

  因此,cookie技术出现了,可以解决这个问题。然而cookie是客户端技术,用户可见,可以随意修改,很不安全。

  最后,session会话机制出现了。

  2.session是什么?

  在一次会话中,解决不同HTTP请求的关联问题,让他们产生联系,不同的页面都可以读取到全局的session的信息。session是服务器端技术,很好解决安全问题。

二、session 的创建,删除和存储。

  2.1 session的创建

  session是在服务器端程序运行中被创建的。创建的语句是HttpSession session=request.getSession().

  session被创建的同时会生成一个唯一的sessionID。这个sessionID会被发送到客户端,写在cookie中。

  当客户端再次发送请求时,会在请求头上加上这个sessionID。服务器收到请求之后会依据这个sessionID在内存找到这个全局session,再次使用。

  注意:

  1.这个sessionID是整个session机制的核心。

  2.session的内容是被保存在服务器端的。被发送到客户端的只有sessionID。

  3.sessionID的生成算法:随机数+时间+jvmid  (jvmid都是唯一的,因此sessionID一定是唯一的)

  2.2 session的删除

  session并不会因为关闭浏览器而被删除。

     session生成之后,只要用户继续访问,服务器就会更新session最后被访问的时间,并维护该session。即用户的session活跃了一次。

  为了防止内存溢出,服务器会把长时间没有活跃的session从内存中删除。这个时间就是session的超时时间。因此,超过了超时时间没有访问服务器,session就会被删除。

  session被关闭的情况:

  1.超时

  2.调用方法HttpSession.invalidate()

  3.程序关闭;

  2.3 session的存储

  session被存储在服务器端的内存中,不过也可以通过特殊的方式持久化管理。

  如果session的内容过于复杂,当有大量用户访问的时候,就会容易导致内存溢出,因此session的内容应该尽量精简。

 三、cookie是什么?

  由于HTTP是无状态协议,服务器无法从网络连接上确定用户的身份。所以服务端给每个客户端一个标识(通行证)。

  服务器通过该标识来确定客户端的身份。cookie实际上是一小段文本信息。

  cookie的工作原理:

  客户端向服务器端发送请求,服务器使用response向客户端颁发一个cookie。

  客户端保存该cookie。当再次发送请求时,cookie被一同提交给服务器。

  服务器检查该cookie,以此来辨认用户的状态。

 四、cookie的创建,删除,修改。

  4.1 cookie的创建

    Cookie cookie = new Cookie("username","helloweenvsfei");   // 新建Cookie

    cookie.setMaxAge(60);                             // 设置生命周期为60秒,不能为负数

    response.addCookie(cookie);                    // 讲该cookie颁发给客户端

  4.2 cookie 的有效期

    cookie.setMaxAge();   

    参数为正 :多少时间之后cookie失效,并会被持久化到对应的cookie文件中。

    参数为负: 为临时性cookie,不会被持久化到cookie文件中,只暂时被保存到浏览器内存中,

         浏览器关闭之后就会消失。

    参数为零:表示删除该cookie。

  4.2 cookie的删除

    如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0

    并添加到response中覆盖原来的Cookie。

  4.3 cookie 的修改

        如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到response中覆盖原来的Cookie。

五、session和cookie的区别

  1.session是在服务端记录客户端状态的机制。cookie是在客户端记录客户端状态的机制。

  2.cookie数据存放在客户的浏览器上,session数据放在服务器上。

   session是在服务器端存放了“用户档案表”,客户来访,查客户的档案。

   cookie是给客户颁发通行证,客户来访,检查客户身上的通行证。

  3.session更安全。

六、session和cookie的使用案例。

  session:保持登录状态。

  cookie :统计网站用户访问量。 request.getCookie()获取客户端提交的所有Cookie。(以cookie[]数组形式返回)。

        永久登录。把用户名和密码保存在cookie中。下次访问时,和数据库比较。

  

posted @ 2017-05-06 21:45  岁月静好--lyr  阅读(268)  评论(0编辑  收藏  举报