小滴课堂-学习笔记：玩转会话跟踪技术Cookie 和 session

 愿景："让编程不再难学，让技术与生活更加有趣"

---

更多架构课程请访问 xdclass.net

 

目录

第1集 会话跟踪技术之什么是Cookie

第2集 javaweb开发核心之Cookie实战

第3集 Web开发必备知识之Session会话你知道多少

第4集 javaweb会话技术HttpSession用户登录实战

干货文档

---

第1集 会话跟踪技术之什么是Cookie

简介：介绍web开发核心技术之Cookie介绍和使用

• cookie介绍

  • 背景：HTTP协议作是无状态协议，无状态指每次request请求之前是相互独立的，当前请求并不会记录它的上一次请求信息。 存在这样的问题，既然无状态，那完成一套完整的业务逻辑，需要发送多次请求，那么怎么标识这些请求都是同个浏览器操作呢？

   

  • 解决方案：

    • 浏览器发送request请求到服务器，服务器除了返回请求的response之外，还给请求分配一个唯一标识ID和response一并返回给浏览器

    • 服务器在本地创建一个map结构，专门以key-value存储这个ID标识和浏览器的关系

    • 当浏览器的第一次请求后已经分配一个ID，当第二次访问时会自动带上这个标识ID，服务会获取这个标识ID去map里面找上一次request的信息状态且做对应的更新操作 服务端生成这个全局的唯一标识，传递给客户端用于标记这次请求就是cookie； 服务器创建的那个map结构就是session。

       

    • cookies由服务端生成，用于标记客户端的唯一标识，在每次网络请求中，都会被传送。

    • session服务端自己维护的一个map数据结构，记录key-Object上下文内容状态

    • 核心：它用于告知服务端两个请求是否来自同一浏览器，如保持用户的登录状态。Cookie使基于无状态的HTTP协议记录稳定的状态信息成为了可能。 浏览器查看多个站点的cookie

   

• cookie的属性

  • Name : 名称

  • Value : 值

  • Domain：表示当前cookie所属于哪个域或子域下面

  • Expires/Max-age：表示了cookie的有效期，是一个时间，过了这个时间，该cookie就失效了

  • Path：表示cookie的所属路径。

  • size: 大小，多数浏览器都是4000多个字节

  • http-only: 表示这个cookie不能被客户端使用js读取到，是不公开的cookie

    • (chrome调试器的console中输入document.cookie将得不到标记为HttpOnly的字段)

  • Secure: 标记为 Secure 的Cookie只应通过被HTTPS协议加密过的请求发送给服务端,

    • 从 Chrome 52 和 Firefox 52 开始，不安全的站点（http:）无法使用Cookie的 Secure 标记

  • SameSite(特有的，可以忽略)

   

• Cookie的缺陷

  • cookie会被附加在每个HTTP请求中，增加了流量。
  • 在HTTP请求中的cookie是明文传递的，所以安全性成问题，除非用HTTPS
  • Cookie的大小有限制，对于复杂的存储需求来说不满足
  • 如果cookie泄露，你猜猜会发生什么问题？

   

• 浏览器允许每个域名所包含的cookie数量？

• 多数浏览器允许最多是50个，部分浏览器是30或者20；
• 满后会有多种剔除策略，比如LRU,权重等

 

• Cookie的现状：

• Cookie曾一度用于客户端数据的存储，因当时并没有其它合适的存储办法而作为唯一的存储手段
• 现代浏览器开始支持各种各样的存储方式，Cookie渐渐被少用了，新的浏览器API已经允许开发者直接将数据存储到本地，比如localStorage、SessionStorage等 参考：https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Cookies

 

第2集 javaweb开发核心之Cookie实战

简介：javaweb操作浏览器cookie

• 获取请求的cookie

  Cookie[] cookies = request.getCookies();
  for(Cookie cookie : cookies){
     cookie.getDomain();
  }
​
    private final String name;
      private String value;
​
      private int version = 0; // ;Version=1 ... means RFC 2109 style
      
      //
      // Attributes encoded in the header's cookie fields.
      //
      private String comment; // ;Comment=VALUE ... describes cookie's use
      private String domain; // ;Domain=VALUE ... domain that sees cookie
      private int maxAge = -1; // ;Max-Age=VALUE ... cookies auto-expire
      private String path; // ;Path=VALUE ... URLs that see the cookie
      private boolean secure; // ;Secure ... e.g. use SSL
      private boolean httpOnly; // Not in cookie specs, but supported by browsers
​

• 响应返回cookie

  
  
  
  Cookie cookie = new Cookie("token","sfwerawefewadaewfafewafa");
  //20秒过期时间，过期后不会自动携带过去
  cookie.setMaxAge(20);
  response.addCookie(cookie);
  request.getRequestDispatcher("/index.jsp").forward(request,response);
  

   

• js获取cookie，可以获取token，但是获取不到JSESSIONID,因为 http-only原因

 

 

 

第3集 Web开发必备知识之Session会话你知道多少

简介：web开发Session知识

• 什么是Session

  • 背景：HTTP协议作是无状态协议，无状态指每次request请求之前是相互独立的，当前请求并不会记录它的上一次请求信息。
  • 存在这样的问题，既然无状态，那完成一套完整的业务逻辑，需要发送多次请求，那么怎么标识这些请求都是同个浏览器操作呢？
  • cookie和session都是为了弥补http协议的无状态特性，对server端来说无法知道两次http请求是否来自同一个用户，利用cookie和session就可以让server端知道多次http请求是否来自同一用户

   

• 生成和使用流程（和Cookie知识点一样，两者互相配合）

  • 浏览器第一次发送request请求到服务器，服务器除了返回请求的response之外，还给请求分配一个唯一标识sessionId和response一并返回给浏览器
  • 服务器在本地创建一个map结构，专门以key-value存储这个sessionId和浏览器的关系
  • 当浏览器的第一次请求后已经分配一个sessionId，当第二次访问时会自动带上这个标识sessionId
  • 服务器通过查找这个sessionId就知道用户状态了，并更新sessionId的最后访问时间。
  • 注意： Session是有时限性的：比如如果30分钟内某个session都没有被更新，服务器就会删除这个它。

• 总结：

  • 服务端生成这个全局的唯一标识，传递给客户端用于标记这次请求就是cookie；
  • 服务器创建的那个map结构就是session。
  • cookies由服务端生成，用于标记客户端的唯一标识，在每次网络请求中，都会被传送。
  • session服务端自己维护的一个map数据结构，记录key-Object上下文内容状态
  • 总言之cookie是保存在客户端，session是存在服务器，session依赖于cookie
  • cookie里面存储的就是JSESSIONID

   

• 使用场景：记录用户的登录状态、权限等

• session的现状

  • session是存储在服务端的内存中，在javaweb里面叫HttpSession也是一个作用域

  • PageContext(页面)->ServletRequest(请求)->【HttpSession】(会话)->ServletContext(一个应用)

  • 是可以存储很多key-value的，作用域比较广，所以也不能存储过多内容，因为内存是有限制的，互联网企业使用比较少，传统IT公司使用比较多

     

• 知识延伸：

  • 服务端是单机情况下session是可以很用的使用的，但是分布式(多台机器)情况下就存在不能共享的问题。
  • 用户A在当前机器登录，突然某次请求到B机器，由于B服务器不存在这个用户的登录信息，所以就会提示重新登录
  • 这个场景下就用到分布式存储方案-比如Redis（跟着学习路线，后续的专题路线课程会讲）

 

 

第4集 javaweb会话技术HttpSession用户登录实战

简介：讲解HttpSession知识开发用户登录实战

• HttpSession 类操作api介绍：

  
  
  
  HttpSession session = request.getSession();
  ​
  //获取sessionid，java里面叫jsessionid
  System.out.println("sessionid="+session.getId());
    
  //创建时间戳,毫秒
   System.out.println("getCreationTime="+session.getCreationTime());
        
  //是否是初次创建，记得情况浏览器的cookie,验证sessionid
  System.out.println("isNew="+session.isNew());
  ​
  //往session存储东西
  session.setAttribute("name","小滴课堂 xdclass.net");
  

   

• 登录Servlet实战

    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
    
        String name = req.getParameter("name");
        String pwd = req.getParameter("pwd");
    
        if(name.equals("xdclass") && pwd.equals("123")){
    
            User user = new User();
            user.setId(121);
            user.setName(name);
            user.setHost("xdclass.net");
            req.getSession().setAttribute("loginUser",user);
            req.getRequestDispatcher("/WEB-INF/user.jsp").forward(req,resp);
    
        }else{
            req.setAttribute("msg","账号密码错误");
            req.getRequestDispatcher("/login.jsp").forward(req,resp);
        }
​
​
    }

• 登录Jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>


    



    名称：
    

    密码：
    
    消息提示 ${msg}

• 登录成功页面

<%@ page contentType="text/html;charset=UTF-8" language="java" %>


    


id:${loginUser.id}


name:${loginUser.name}
退出

• 退出登录实现方式: session.invalidate();
• 过期时间配置web.xml,单位分钟

    30

干货文档

                                                        关注公众号发送：“CSDN干货文档”  即可领取