在将cookie 和 session 之前需要先理解什么是会话
会话:
用户打开一个浏览器,点击多个超链接,访问多个web资源,然后关闭浏览器,整个过程称为一个会话。
http协议是无状态的,一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换建立新的连接,也就是说,服务器无法跟踪会话。而cookie 和 session 就是用与解决这种问题。
1.什么是cookie
cookie是客户端的技术,程序把每个用户数据以cookie的形式写给用户各自的浏览器,当客户端再次访问服务器的时候,会带着各自的Cookie过来,这样服务器就能处理各自用户的数据了
1.1. 如何使用cookie
Cookie cookie = new Cookie("name","value"); //创建一个cookie
cookie.setPath("/"); //cookie记得一定要设定路径,默认是当前的类的路径,设置/代表是整个web应用。
cookie.setMaxAge(""); //设置有效期限,默认是浏览器的进程,也就是浏览器关了,就没了。如果是设置为负数,那么cookie不会被存储,并且会被删除。如果设置为0,那么cookie会被删除。(这些内容在API上描述得非常清楚)
response.addCookie(cookie);//添加cookie,这样才能回写给客户端
以上的内容就是关于如何去使用一个cookie了。
1.2. cookie的细节
根据API的描述,一个cookie最大为4KB.浏览器一般只允许存放300个cookie,每个站点最多存放20个Cookie。Cookie被创建的时候默认使用Verssion 0 ,也就是http 1.0
1.2.1 cookie的删除
在cookie的API中没有删除cookie的具体方法,但是我们可以通过设置cookie的生命周期,来讲cookie删除,设置为0代表删除(详解自行查看setMaxAge()方法)
cookie.setMaxAge(0);
如果说不想从request域中获取cookie,然后将该cookie的生命周期设置为0,可以采用以下这个方法
Cookie cookie = new Cookie("想删除的cooki名字","value");
cookie.setPath("");//此处路径必须与想删除的cookie一致
cookie.setMaxAge(0);
response.addCookie(cookie);
1.3 cookie的获取
request.getCookies(); //返回的是cookie的数组
以上就是cookie的常用方法。
1.4 cookie设置注释
cookie.setComment("comment")
1.5 cookie 设置安全传输协议(例如 https ,ssl)
cookie.setSecure(true|false) 默认为false
1.6 cookie 防止 xss(跨站脚本攻击) 攻击
cookie.setHttpOnly(true) // 高版本的 servlet Api中有提供此方法
当将httpOnly设置为true时,将无法通过js脚本获取cookie信息。能够有效的防止xss攻击
2.什么是session
session是服务端的技术,当浏览器第1次访问web资源的时候,服务器会自动为其创建一个session,并保存在服务器,当需要保存用户数据的时候,可以将数据写入session中。当用户访问其他程序的时候,就可以直接从session中取值。值得一提的是sesion是建立在cookie的基础上创建的。
2.1 session实现原理
session的实现原理是建立在给浏览器回写cookie,并且是以JSESSIONID为键,但是这个cookie是没有时间的,也就是说,当你关闭浏览器时,代表一个会话结束了,也就是说你的session会被删除,当你再次访问服务器的时候,服务器会为你重新创建一个session。
2.2 session的使用
2.2.1 客户端不禁用cookie的情况
HttpSession session = request.getSession();//客户端访问服务器的时候,服务器会自动创建一个session,如果客户端没有禁用cookie的话。
String sessionId = session.getId();
Cookie cookie = new Cookie("JSESSIONID",sessionId);
cookie.setPaht("/");
cookie.setMaxAge(30*60);//注意在tomcat的web.xml文件中,设置了session的生命周期最长为30分钟。
response.addCookie(cookie);
session.setAttribute("key","value");
2.2.2 客户端禁用cookie的情况
如果客户端禁用cookie,那么需要调用response的encodeURL("转发的地址")
HttpSession session = request.getSession();
String url1 = response.encodeURL("xxxx");//注意,调用这个方法之前,必须要先获取session,(在该方法的API描述得很清楚)
PrintWriter pw = response.getWriter();
pw.write(url1);
2.3 session的一些细节
设置session的生命周期
可以通过设置配置文件的形式,设置session的生命周期;在web.xml文件中添加如下代码
30 //备注这里是以分钟为单位
参考以下2篇博文:
https://my.oschina.net/kevina... 深入源码剖析了session和cookie
http://blog.csdn.net/fangaoxi... 介绍了一些基本的知识