cookie、session总结

  前几天在调试第三方支付接口时碰到一个session失效问题,用了几天时间才搞明白,现在回想一下,主要还是由于cookie和session这一块的一些基本概念没有搞清楚,现总结一下。

  浏览器使用HTTP协议作为应用层协议,而HTTP协议是一个无状态协议,但是通常web站点希望能够识别用户,可能是因为服务器希望限制用户的访问,或者因为它希望把内容与用户身份联系起来。这就需要将浏览器与web服务器之间多次交互当作一个整体来处理,并且将多次交互所涉及的数据及状态保存下来,通常有两种方案:cookie和session。

cookie

  服务器为了识别用户身份而临时存放在浏览器端的少量数据。浏览器器访问服务器时,服务器将一些数据以Cookie消息头的形式发送给浏览器(由程序指定),浏览器会将这些数据保存下来;当浏览器再次访问服务器时,会将这些数据以Cookie消息头的方式发送给服务器。

使用Cookie

//添加Cookie
Cookie c = new Cookie(String name,String value);
response.addCookie(c);
//读取Cookie
Cookie[] request.getCookies();
String cookie.gtName()
String cookie.getValue()

Cookie编码问题

  cookie只能存放合法的ascii字符,如果要存放中文,可以将中文转换成合法的asscii字符形式,通过如下方式进行编解码,编码后的字符串可以存到cookie中,读取时再进行解码。

String URLEncoder.encode(String str,String charset); //编码
String URLDecoder.decode(String str,String charset); //解码

Cookie生存时间问题

可以通过cookie.setMaxAge(int seconds)来设置:
seconds>0,浏览器会将cookie保存在硬盘上,超过指定时间cookie失效;
seconds<0,默认值,浏览器会将cookie存在内存中,关闭浏览器后cookie失效;
seconds=0,删除cookie;

Cookie的路径问题  

  浏览器端保存的cookie内容主要包括:名字,值,过期时间,路径和域名。

  浏览器在访问服务器上的某个地址时,会比较Cookie的路径与该路径是否匹配,浏览器只会将路径匹配的Cookie发送给服务器。cookie的默认路径为添加该cookie的web组件的路径,比如/servlet/addCookie.jsp添加了一个cookie,则浏览器端保存该cookie对应的默认路径为:/servlet。

  在浏览器端一般会保存多个cookie,当浏览器要访问服务器时如何决定要将哪个cookie添加至消息头中呢?

匹配规则如下:
  要访问的地址必须是cookie的路径或其子路径,而且域名需一致。
  比如浏览器端保存的cookie的路径是/servlet/work/,当访问/servlet/buy.jsp这个页面时是不会将该cookie放入消息头中的,而当访问/servlet/work/buy.jsp或/servlet/work/flow/buy.jsp两者之一时,浏览器是会将前面的cookie放入消息头之中的。

cookie的限制

a.cookie不安全

b.cookie可以被用户禁止

c.cookie只能保存少量数据,4k左右

d.浏览器保存的cookie的数量也有限制(大约几百个)

e.cookie只能保存字符串

session(会话)

  服务器端为了保存状态而创建的一个特殊的对象。

  浏览器访问服务器时,服务器会创建一个特殊对象session(由程序指定,该对象有一个唯一的id,本文称之为sessionId),服务器会将sessionId以cookie形式发送给浏览器;当浏览器再次访问服务器时,会在消息头中带有包含sessionId的cookie消息头,服务器端可以利用这个sessionId找到相应的对象,来保存一些状态值。

使用session

//方式一
HttpSession session = request.getSession(boolean flag); //当flag为true时,先查看请求当中有没有sessionId,如果有,则依据该sessionId查找对应的session对象,找到则返回,找不到则创建新session对象;如果请求当中没有,则直接创捷session对象;
//当flag为false,与true类似,只是在没有找到session对象时返回空

//方式二
HttpSession session = request.getSession(); //等价于request.getSession()

session超时

  服务器会将空闲时间过长的session对象删除掉,这样做是为了节省内存空间的占用。服务器默认的超时时间一般是30分钟。可以通过setMaxInactiveInterval(int seconds)来设置两次请求之间的最大时间间隔,也可看成是失效时间,如果超过这个失效时间,则服务器会销毁这个session对象。

使用session场景

比如登陆控制,在登陆成功后,将一些数据绑定到session对象上,如:

session.setAttribute("user",user);

当用户请求要保护的资源(只有登陆成功才能访问的资源)时候,进行session验证:

Object obj = session.getAttribute("user");
if(obj == null){//没有登陆,重定向到登陆页面
    response.sendRedirect("login.jsp)";
}

 

注:以上关于session和cookie的demo是在tomcat容器下测试的

posted on 2018-07-04 19:37  木瓜芒果  阅读(509)  评论(0编辑  收藏  举报