现在,网络购物基本都是每个人必备的技能,主要是方便。那么,如果我们通过网页,输入用户名和密码后,登录购物网站,就能够查询到我们自己的订单信息、购物车信息…
那么问题来了,我们通过浏览器访问服务器,服务器是怎么知道这些订单信息、购物车信息是属于我们当前用户的数据呢?第一次登录需要我们自己输入用户名和密码,第二次登录,我想让浏览器帮我保存登录信息,我就不用再输入用户名和密码了,这又是怎么做到的呢?
答:这还不简单?因为我们登录了用户名和密码,所以购物网站那边的服务器,就将我们当前用户的数据放到一个数据库中,只要我们登录成功,所以就能按照对应的用户从数据库中访问自己数据了呀!
问:那么,一个用户的信息被存储到数据库中的一个地方,这是怎么实现的呢?假如小明登录的自己账号,发现自己的订单信息都是小强的,那该怎么办呢?
本篇博客就是为了理解,网页是通过什么逻辑来约定当前的用户数据。
必须明确,Cookie 和 Session 之间是相互配合的。
Cookie 是 HTTP协议 中的一个字段,同时也是浏览器在客户端这边保存数据的一种比较古老的方式。
问1:Cookie 从哪来的呢?是客户端发送请求自带的吗?
答:否。必须明确:Cookie 是服务器端产生的,其次,浏览器才对 Cookie 进行保存。服务器先是将 header 响应头中的 Set-Cookie 字段进行设置,之后, 在返回 HTTP响应的时候,返回给浏览器。
问2:Cookie 怎么存储?
答:Cookie 在浏览器这边存储,浏览器会根据域名 / 地址,来分别存储 Cookie.
问3:Cookie 有什么用?
答:Cookie 会在第一次请求的下次请求中,自动被添加到 HTTP请求中的请求头,发给服务器。服务器通过 Cookie 中的内容,以此来验证用户的身份。
问4:Cookie 中的内容是什么?
答:典型的网页场景下,是类似于键值对结构的字符串。然而,此处的键值对,都是可以由开发人员自定义。
Session,中文翻译为 " 会话 ".
HTTP协议本身,是无状态的。
举个例子:
小明对服务器进行了两次请求。第一次请求和第二次请求,对于服务器来说,是感知不到关联关系的。然而,实际开发中,又需要有状态的逻辑。为什么呢?
小明登录完成之后,后续再访问这个网站的时候,服务器就需要知道这个用户的身份信息和数据信息是小明的,而不是小强的,小花的…所以,Session 就是用来解决这个问题。
必须明确:Session 也是在服务器端存储的,我们可以简单地将 Session 想象成是一个 Hash 表,key 就是sessionID,value 就是开发人员自定义的数据。最终,可以将 Session 的数据赋值给 Cookie,这样一来,用户第二次发送请求的时候,服务器就能识别用户是谁了。( 虽然用户感知不到,但是开发人员必须实现这一逻辑 )
这体现了 Cookie 和 Session 之间要的配合。
sessionID: 0x1234...
sessionlD 相当于key
0x1234... 相当于value, 是一个十六进制数据
此处 Cookie 和 Session 之间的配合,主要是针对一些主流的网页实现。Cookie 字段存在的意义就是:为了浏览器能够安全可靠地访问服务器的存储信息。而 Session 中 的 sessionID 也是为了防止第三方能够直接拿到 Cookie 的信息,而设计的。Cookie 中套了一个 session,session 中又套了一个 sessionID,这样一来,用户在 ( 登录、二次登录 ) 的时候就安全方便很多。
所以,也就是说,另一些网页可以不依赖 Cookie 字段,还可以使用 LocalStorage / IndexDB…等等一些额外的实现方式。
而这只是针对网页交互的,像应用程序,或手机端的一些登录机制,可能又大不相同,有些若不遵从 HTTP 协议,更别提 Cookie 机制了。
但不管怎样,Cookie 和 Session 的配合,是一种较为经典的网络交互机制,理解了这些,其他的登录逻辑,也就大差不差了。
在下图中,用户 Ron 从浏览器登录,那么浏览器就要给服务器返回响应,假设登录成功,服务器就会返回登录成功的响应,那么第二次 Ron 想获取购物车的请求,服务器是怎么知道的,我即将访问的购物车数据是 Ron 的呢?
实现一个用户登录的案例
首先,要有一个 html,包含用户名密码的输入框,以及登录按钮。
其次,要有一个 LoginServlet,来处理登录请求。
最后,要有一个 IndexServlet,模拟登录完成后,跳转到的主页,在这个主页里面就能够获取到当前用户的身份信息。 ( 这里就可以存储开发人员自定义的用户数据,比如可以存一个当前用户访问的次数 )
之前说了一些理论的交互流程,而 Servlet 已经对这里的流程进行了封装,开发人员在使用的时候,相对简单,因为大部分工作,已经在 Servlet 的内部封装好了,只需要通过 一些API 进行调用即可。
DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<meta http-equiv="X-UA-Compatible" content="IE=edge">
<meta name="viewport" content="width=device-width, initial-scale=1.0">
<title>demotitle>
head>
<body>
<form action="login" method="POST">
用户名: <input type="text" name="username">
<br>
密码: <input type="password" name="password">
<br>
<input type="submit" value="登录">
form>
body>
html>
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
resp.setContentType("text/html; charset = UTF-8");
// 1. 先从请求中的 body 读取用户名和密码对应的值
String username = req.getParameter("username");
String password = req.getParameter("password");
// 2. 判定用户名和密码是否正确 (此处为了简化逻辑,直接写死用户名和密码就是 Ron和 12345)
if (!username.equals("Ron") || !password.equals("12345")) {
resp.getWriter().write("登录失败!");
return;
}
System.out.println("登录成功!");
// 3. 登录成功,则创建一个会话
HttpSession httpSession = req.getSession(true);
// 开发人员自定义的数据,可以存入身份信息 (用户名和登录次数)
httpSession.setAttribute("username", "Ron");
httpSession.setAttribute("loginCount", 0);
// 4. 让页面跳转到内容主页,使用重定向的方式实现
resp.sendRedirect("index");
}
}
@WebServlet("/index")
public class IndexServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
// 根据当前用户请求中的 sessionId, 读取用户信息,并显示到页面上
resp.setContentType("text/html; charset = UTF-8");
// 1. 判定当前用户是否已经登录了
// 如果会话不存在,就不能创建了,只是查询,不能登录
HttpSession httpSession = req.getSession(false);
if (httpSession == null) {
// 若 httpSession 对象为空,说明之前登录没有成功,所以代码中途返回了
// 以至于没有创建会话,所以,直接重定向到返回页面,让用户自己再次登录
resp.sendRedirect("demo.html");
return;
}
// 2. 如果用户已经登录,就可以从 HttpSession 中拿到用户信息了
String username = (String) httpSession.getAttribute("username");
Integer loginCount = (Integer) httpSession.getAttribute("loginCount");
loginCount = loginCount + 1;
httpSession.setAttribute("loginCount", loginCount);
// 3. 返回一个 HTML 页面
StringBuilder html = new StringBuilder();
html.append(" 用户:" + username + "");
html.append(" 登录次数:" + loginCount + "");
resp.getWriter().write(html.toString());
}
}
HttpSession httpSession = req.getSession(true);
上面的代码表示:httpSession 这个会话在第一次登录成功之前,并没有创建,由于 getSession 方法的参数是 true,所以登录成功后,【不存在会话,就创建。】即创建了一个 httpsession 对象,同时生成了一个 sessionID.
只不过,我们在代码中看不到生成的 sessionID 是什么,这是因为 Servlet 已经为我们封装好了代码。
HttpSession httpSession = req.getSession(false);
上面的代码表示:通过 httpSession 对象这个会话机制,来判定 httpSession 对象有没有被创建出来,以此来判定用户是否已经登录过页面。
由于 getSession 方法中的参数是 false,【不存在,不创建】。既然不创建,也就只能用来判断用户是否已然是登录状态了。( 在 LoginServlet 类中,我们可以看到:只要用户名或密码输入错误,也就意味着登录失败,代码的逻辑是什么也不做,最终也就返回了,故而,httpSession 这个对象就没有被创建出来,显然,用户没有成功登录。)
如果登录成功,说明 httpSession 对象早已经被创建了,那么它的里面也就存储了键值对结构,包括用户名和密码。
后续,如果我们通过值来找到对象,或者通过对象找值,也就很方便了。总之,我们就将其看作键值对的结构即可。
上面的两个不同类中的 httpsession 表示的是同一个对象,也就是说,httpsession 只有一份,我们可以将它想象成一个存钱罐,【存钱的时候,就往里面放对象;取钱的时候,就从里面拿对象。】
我们将 Cookie 想象成一个身份令牌,同一个账户只有唯一一个令牌,每个令牌对应的sessionID 不相同,所以每个账户的令牌都不相同。那么,每个账户对应的 Cookie 也不相同,这也就实现了网页登录的安全性。此外,在第一次登录之后,客户端发送第二次请求的时候,就会自动带上 Cookie,这样一来,服务器就能直接通过 Cookie 中的 sessionID 就行识别,之后的操作,服务器就只对当前用户进行数据访问了。
第一次交互:
第二次交互:
在浏览器为我们呈现的结果就是,当我们输入正确的用户名和密码后,服务器端就会响应,并且跳转到另一个页面。这和我们平时通过网页登录就很相似了,当然,这里,我并没有将前端页面设置的很好看,重在表达逻辑。
方法 | 描述 |
---|---|
HttpSession getSession() | 参数为 true,会话不存在就创建,存在就返回;参数为 false,会话不存在不会创建,返回 null |
方法 | 描述 |
---|---|
Object getAttribute(String name) | 通过 name,搜寻到 name 对应的对象,并返回对象,一般配合强制转换使用;如果没有搜寻到 name 对应的对象,则返回 null. |
void setAttribute(String var1, Object var2) | 将 var2 对象存到 Httpsession 会话中,并将 var2 与 var1 通过键值对的形式关联起来 |
void removeAttribute(String name) | 通过 name,搜寻到 name 对应的对象,并将对象从 Httpsession 会话中删除 |
如果是新创建会话( 客户端传来的请求里没有 Cookie 或 sessionID 找不到),就会进行新建会话操作。此操作创建了一个 HttpSession 对象,作为value;生成一个 sessionID 作为key (随机的字符串) ,把这个 【 key, value 】存到一个内存的 Hash 表中,同时把sessionID 放到 Set-Cookie 中,返回给浏览器,最后,开发人员还可以在 HttpSession 对象中存储一些自定义的数据。