Cookie&session

1.会话技术:

从浏览器开始访问服务器,到关闭浏览器,这期间发生了许多次请求和响应,这个过程就叫做一次会话。

2.Cookie(客户端技术)

Cookie是基于set-Cookie响应头和Cookie请求头工作的,服务器可以发送set-Cookie请求头命令浏览器保存一个cookie信息,浏览器会在访问服务器时以Cookie请求头的方式带回之前保存的信息。

数据保存在客户端,这个信息可以保存很长时间

数据随时有可能被清空,所以cookie保存的数据是不太靠谱的

数据被保存在了客户端,随时有可能被人看走,如果将一些敏感信息比如用户名密码等信息存在cookie中,可能有安全问题

2.1javax.servlet.http.Cookie

javax.servlet.http.Cookie,可以直接利用此类的构造方法创建一个Cookie,创建出来的Cookie需要设置一个名称和值

new  Cookie(String name,String value)//Cookie在构造的时候就需要设定好cookie的名字和值

2.2addCookie

response身上具有addCookie的方法,可以将创建出来的组织成响应消息中的set-cookie头,通知浏览器保存该cookie

response.addCookie(Cookie c);

2.3getCookies

request身上具有getCookies方法,可以获取浏览器带过来的所有Cookie  

request.getCookies();

2.4Cookie方法:

注意,浏览器是根据cookie的名称加上cookie的path来区分是否是同一个cookie的,如果需要覆盖之前的cookie,除了保证名称相同外还要保证path也相同。

public Cookie(String name,String value)利用构造方法创建一个Cookie对象,在创建的时候就要指定该Cookie的名和值

setValue与getValue方法  

设置或者获取Cookie的值

setMaxAge与getMaxAge方法   

 一个Cookie如果没有设置过MaxAge则这个Cookie是一个会话级别的Cookie,这个Cookie信息打给浏览器后浏览器会将它保存在浏览器的内存中,这意味着只要浏览器已关闭随着浏览器内存的销毁Cookie信息也就消失了.一个Cookie也可以设置MaxAge,浏览一一旦发现收到的Cookie被设置了MaxAge,则会将这个Cookie信息以文件的形式保存在浏览器的临时文件夹中,保存到指定的时间到来位置.这样一来即使多次开关浏览器,由于这些浏览器都能在临时文件夹中看到cookie文件,所以在cookie失效之前cookie信息都存在.。如果将MaxAge设置为0,则是通知浏览器去删除该Cookie。

setPath与getPath方法 

用来通知浏览器在访问服务器中的哪个路径及其子路径时带着当前cookie信息过来。如果不明确设置,则默认的路径是发送Cookie的Servlet所在的路径

例如:

setPath("/Day06")则/Day06/.../...的路径都会带上该Cookie

如果发送该Cookie的Servlet是 /Day06/servlet/Demo1Servlet,并且未设置setPat,则浏览器在访问/Day06/servlet/..时会带上该cookie

setDomain与getDomain方法  设置cookie对应的域名,此方法一旦调用,则浏览器会认为该cookie是一个第三方cookie而拒收

getName方法 获取该cookie的名字,注意没有setName方法,一个Cookie一旦创建出来就不能修改名字了

2.5

浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。


3.Session(服务器端技术):

在服务器中,为浏览器创建独一无二的内存空间,在其中保存会话相关的信息。

数据保存在服务区端,相对来说比较稳定和安全

占用服务器内存,所以一般存活的时间不会太长,超过超时时间就会被销毁.我们要根据服务器的压力和session 的使用情况合理设置session的超时时间,既能保证session的存活时间够用,同时不用的session可以及时销毁减少对服务器内存的占用.

3.1session作为域使用:

他是j2ee中四大域对象之一,作用范围为整个会话。

3.2session的生命周期:

在第一次调用reqeust.getSession()方法的时候,服务器会检查是已经有对应的session,如果没有就在内存中创建一个session并返回。

当一段时间内session没有被使用,一般为30分钟(此值可以在web.xml中配置来配置,也可以使用TomcatManager进行配置),则服务器会销毁该session

当服务器强行关闭时,没有到期的session也会跟着销毁。

如果调用session提供的invalidate(),可以立即销毁session。

3.3session的原理:

在服务器第一次调用request.getSession()方法的时候,会在内存中创建一个session对象,此对象具有一个独一无二的id值,此id值将会以cookie(JSESSIONID)的形式发送给浏览器,浏览器以后每次访问都会带着此cookie,服务器就利用此cookie区分浏览器找到对应的session空间。

3.4同一电脑内的不同浏览器使用同一session:

JSESSIONID这个cookie默认是保存在浏览器内存中的,我们可以自己创建一个同名同path的Cookie,并设置maxage值,使其被保存在硬盘中,从而实现统一电脑中不同浏览器公用一个JSESSIONID从而使用同一个session。

3.5使禁用Cookie的浏览器也可以使用session:

由于session是基于cookie运行的,如果禁用了cookie则会导致session不可用,我们可以将提供给这种浏览器的所有的URL进行重写,在所有的URL后跟上JSEESIONID,从而保证即使禁用了Cookie也能以URL的形式带回JSESSIONID,从而可以使用session。要重写所有的URL是一项成本很高的工作,一般我们不会这么做。

response. encodeRedirectURL(java.lang.String?url)如果此url是作为重定向操作的地址时使用此方法

response. encodeURL(java.lang.String?url)如果此url是普通连接则使用此方法

3.6URL重写:

如果浏览器禁用了Cookie,浏览器就没有办法JSESSIONID cookie,这样就用不了Session了.

我们可以使用URL重写的机制,在所有的超链接后都以参数的形式拼接JSESSIONID信息,从而在点击超链接时可以使用URL参数的方式待会JSESSIONID,从而使用Session

将URL进行重写拼接上JSESSIONID的过程就叫做URL重写

request.getSession() --在URL重写之前一定要先创建出Session,才有Session id,才能进行重写

response.encodeURL()--- 一般的地址都用这个方法重写

response.encodeRedirectURL() --- 如果地址是用来进行重定向的则使用这个方法

*url重写的方法一旦发现浏览器带回了任意cookie信息,则认为客户端没有禁用cookie,就不会再进行重写操作

*request.getSession()和request.getSession(false);的不同之处:

前面的方法一调用,就会去检查是否有对应的session,没有就创建,有就取回。后面的方法只会去检查,如果有就取回,如果没有也不创建。

你可能感兴趣的:(Cookie&session)