Cookie
获取浏览器中发送过来的Cookie信息 Cookie[] cookies = request.getCookies(); 没有Cookie时,返回null
只有调用addCookie方法时,Cookie信息才会真正返回到浏览器,仅建立Cookie对象是不会返回的,由于Cookie信息是在HTTP消息头中发送的,因此使用时要先设置所有的消息头个Cookie信息,然后才通过输出流返回消息体数据。
Cookie存在的问题:数据由浏览器存储,浏览器是否支持该机制,用户是否禁止了该机制,都关系着会话跟踪的正常运行,对客户端依赖太大;
每次请求响应时都要将Cookie信息通过消息头发送,增加了网络传输量;
某些敏感数据存放在客户端将带来一定的安全隐患。
Session的工作原理:Servlet的Session机制将会话跟踪的数据保存在服务器端,程序可以在其中通过属性(attribute)设置需要跟踪的数据。将数据请求和数据联系起来的方式是:Web容器会为这些数据分配ID号,并使用Cookie或URL重写方式将信息关联到客户端。Servlet规定使用JSESSIONID作为关联ID的名称,由字母数字等组成的无意义字符串。
HttpSession getSession(boolean) 指定当对象不存在时,是否要创建新对象。
public void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException{
HttpSession session = req.getSession();
synchronized(session){
Object value = session.getAttribute("name");
...
session.setAttribute("name", value);
}
}
可以在web.xml配置中设置session的最大空闲时间,
<session-config>
<session-timeout>30</session-timeout>//单位是分钟
</session-config>
但是像发帖之类的如果设置session-timeout为5分钟显然太短了,可以在单独设置的长点,用 void setMaxInactiveInterval(int second) 设置空闲的最长时间。
选择session还是cookie呢?
使用session的情况:
只在同一web程序内,并且仅在用户在线期间维护,如进行货币交易的网站等。
使用cookie的情况:
对数据安全要求不高,但需要长时间维护,如某个需要登录才能访问的网站,可以将“用户已登录”的信息保存在cookie中两星期,这样用户就不必每次访问都重复登录的工作,从而方便了用户。
实际中,Cookie和Session可以互相配合使用。