在讲清楚什么是Cookie和Session之前,我们先来了解什么是会话以及http协议无状态。
无状态的官方解释:
简单理解就是客户端是第二次访问服务器,服务器还是把此次访当做一个新的访问进行处理,因为服务端并不知道客户端之前是否访问过。
为了解决这一问题,Web程序中采用会话跟踪技术,会话跟踪技术就是依靠Cookie和Session实现。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
一次会话:浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。一次会话中包含多次请求和响应。有了会话跟踪可以在一次会话的范围内的多次请求间,共享数据。
客户端会话技术,服务端给客户端的数据,存储于客户端(浏览器)。由于是保存在客户端上的,所以存在安全问题,并且cookie是由个数和大小限制的(4KB),所以一般cookie用来存储一些比较小且安全性要求不高的数据,而且一般数据都会进行加密。
登录时,在服务器端获取到用户名,然后创建一个cookie,将用户名存入cookie中,发送回浏览器端,然后浏览器下次在访问登录页面时,先拿到cookie,将cookie中的信息拿出来,看是否保存了该用户名,如果保存了,那么直接用他,如果没有,则自己手写用户名。
比如购物网站,都会有我们的浏览记录的,实现原理其实也是用cookie技术,每浏览一个商品,就将其存入cookie中,到需要显示浏览记录时,只需要将cookie拿出来遍历即可。
3.1 servlet创建cookie,保存少量数据,发送浏览器。
public void login(HttpServletRequest request, HttpServletResponse response) {
String account = request.getParameter("account");
String pwd = request.getParameter("pwd");
String isRemember = request.getParameter("remember");
if (isRemember != null) {
Cookie cookie = new Cookie("account", account); // 保存账号数据
cookie.setMaxAge(1*60*60*24); // cookie存在在本地的有效时长(单位为秒) 默认为-1 表示页面关闭cookie就失效
response.addCookie(cookie);//添加到response
}
// ...省略登录逻辑
}
3.2 浏览器获得服务器发送的cookie数据,将自动的保存到浏览器端。
3.3 下次访问时,浏览器将自动携带cookie数据发送给服务器。
服务器端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HttpSession。
2.1 登陆验证信息。用户的各种私人信息,比如姓名等,某种情况下,需要保存在Session里 需要在页面间传递 的内容信息,比如调查工作需要分好几步。每一步的信息都保存在Session里,最后在统一更 新到数据库。
2.2 Session共享
对于多网站(同一父域不同子域)单服务器,我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(blog.yoodb.com 和daohang.yoodb.com),而SessionId又分别储存在各自的Cookie中,因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改Cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是子站间的Cookie信息也同时被共享了。
Session的实现是依赖于Cookie的。
Cookie中有JSESSIONID这个字段,实际上首次请求网页时在请求头里是没有这个字段的,因为我们并没有创建session,当我们调用request.getSession()时,此时会创建一个session,并且将sessionId保存到cookie中,然后回写给response,所以我们发现首次创建session时的响应头中有JSESSIONID这个字段,后面的request默认都会带上JSESSIONID这个字段,而response中则不会再有该字段了。而服务器就能够根据JSESSIONID这个字段值查找对应的session。
如果浏览器禁用了cookie,那么,每次请求都会重新创建session,因为服务器没有获取到JSESSIONID这个值,也无法根据JSESSIONID的值查找相应的session,也就是说,如果客户端禁用了cookie,那么session也将失效。如图:
第一次请求:
后续请求:
1. cookie在浏览器中保存多长时间?
默认情况下在浏览器关闭后就会失效。即一次会话后就失效。因为cookie是放在浏览器缓存的,浏览器关闭会清除缓存所以cookie会失效。
要想使这个cookie在浏览器关闭后仍然有效就需要设置有效时间将其写到磁盘下。
持久化存储:
setMaxAge(int seconds)
正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效
负数:默认值
零:删除cookie信息
2. cookie共享问题?
2.1 假设在一个tomcat服务器中,部署了多个web项目,那么在这些web项目中cookie能不能共享?
默认情况下cookie不能共享setPath(String path):设置cookie的获取范围。默认情况下,设置当前的虚拟目录
如果要共享,则可以将path设置为"/"
2.2 不同的tomcat服务器间cookie共享问题?
setDomain(String path):如果设置一级域名相同,那么多个服务器之间cookie可以共享
setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享
3. Cookie的特点和作用
3.1 cookie存储数据在客户端浏览器
3.2 浏览器对于单个cookie 的大小有限制(4kb) 以及 对同一个域名下的总cookie数量也有限制(20个)
3.3 cookie一般用于存出少量的不太敏感的数据,在不登录的情况下,完成服务器对客户端的身份识别
1. session什么时候被销毁?
1.1 服务器关闭.
1.2 session对象调用invalidate() 。
1.3 session默认失效时间 30分钟。
选择性配置修改
30
2. session的特点
2.1 session用于存储一次会话的多次请求的数据,存在服务器端。
2.2 session可以存储任意类型,任意大小的数据。
3. session与Cookie的区别
3.1 session存储数据在服务器端,Cookie在客户端。
3.2 session没有数据大小限制,Cookie有。
3.3 session数据安全,Cookie相对于不安全。
参考:java之Cookie和Session - china_coding - 博客园