session和cookie
关于B/S结构系统的会话机制
jarkata.servlet.http.HttpSession
一个会话当中包含多次请求(一次会话对应N次请求)
- 一次会话: 用户打开浏览器,进行一系列操作,然后最终将浏览器关闭的整个过程 , 会话在服务器端也有一个对应的java对象叫做session
- 一次请求:用户在浏览器上点击了一下,然后到页面停下来,可以粗略认为是一次请求, 请求对应的服务器端的java对象是request
- session机制属于B/S结构的一部分是一个规范, 不同的语言开发web项目对这种会话机制都有实现
在java的servlet规范当中 , session对象最主要的作用是:保存会话状态(用户登录成功是一种登录成功的状态,使用session对象可以保留这种会话状态)
- 因为HTTP协议是一种无状态协议 ,请求的瞬间B和S是连接的,但是请求结束之后,连接就断了,这样可以降低服务器的压力
- 只要B和S断开了,服务器是不知道浏览器什么时候关闭的, 所以就不会销毁session对象
request请求域(HttpServletRequest), application域(ServletContext)不被用来保存会话状态
- request是一次请求一个对象作用域太小,保存的请求域的数据在下次请求中就不能拿来使用
- ServletContext对象是服务器启动的时候创建,服务器关闭的时候销毁,这个ServletContext对象只有一个作用域太大
session对象的实现原理: session列表是一个Map,map的key是sessionid,map的value是session对象
- jsp自己会创建一个session对象并有其对应的JSESSIONID, 不需要等到服务器生成返回就可以使用
- 用户第一次请求服务器生成session对象,同时生成id(JSESSIONID=xxx) 在响应报文中返回给浏览器, 这个键值对以Cookie的形式保存在浏览器的内存中
- 用户第二次请求,自动将浏览器内存中的Cookie发送给服务器,服务器根据id查找session对象
- 关闭浏览器内存消失,cookie消失,sessionid消失,会话等同于结束
//张三第一次打开浏览器A访问的服务器时候会在服务器端生成张三专属的session对象。李四第一次打开浏览器B访问服务器的时候同理生成李四专属的session对象
//下次获取的时候张三再访问的服务器的获取的session对象就是张三的。李四再访问服务器的时候获取的session对象就是李四的
HttpSession session = request.getSession();
//销毁session对象
session.invalidate()
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-QSfW965c-1685792159367)(D:/%E7%AC%94%E8%AE%B0/javaweb%E7%AC%94%E8%AE%B0/Servlet/images/session%E5%AF%B9%E8%B1%A1%E7%9A%84%E5%AE%9E%E7%8E%B0%E5%8E%9F%E7%90%86.png)]
Cookie禁用即服务器正常发送cookie给浏览器,但是浏览器不要了并不是服务器不发了,这样每一次请求都没有携带id, 服务器就会到新的session对象*
- cookie禁用了,需要使用URL重写机制实现session机制: http://localhost:8080/servlet12/test/session;jsessionid=19D1C99560DCBF84839FA43D58F56E16
- URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候,后面都要添加一个sessionid,给开发带来了很大的难度,很大的成本
- 所以你要是禁用cookie,大部分的网站都是不允许使用的
设置session的超时时长
<web-app xmlns="https://jakarta.ee/xml/ns/jakartaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="https://jakarta.ee/xml/ns/jakartaee https://jakarta.ee/xml/ns/jakartaee/web-app_5_0.xsd"
version="5.0">
<session-config>
<session-timeout>30session-timeout>
session-config>
web-app>
@WebServlet("/test/session")
public class TestSessionServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// request和session都是服务器端的java对象。都在JVM当中
// request对象代表了一次请求(一次请求对应一个request对象。两次请求就会对应两个不同的request对象)
// session对象代表了一次会话(一次会话对应一个session对象)
// 获取session对象
// 从WEB服务器当中获取session对象,如果session对象没有,则新建
HttpSession session = request.getSession();
// 向会话域当中绑定数据
session.setAttribute();
// 从会话域当中取数据。
Object obj = session.getAttribute()
// 将session对象响应到浏览器
response.setContentType("text/html;charset=UTF-8");
PrintWriter out = response.getWriter();
out.print("会话对象:" + session);
}
}
实现登录功能
我只想让合法的用户去使用这个系统,不合法的用户不能访问这个系统,需要加一个登录功能。登录成功的可以访问该系统,登录失败不能访问
步骤1:数据库当中添加一个用户表:t_user ,向t_user表中插入数据
- t_user表当中存储的是用户的登录信息,最基本的也包括:登录的用户名和登录的密码
- 密码一般在数据库表当中存储的是密文(MD加密算法) ,一般不以明文的形式存储(这里先使用明文方式)
步骤2:再实现一个登录页面的表单 , 有用户名和密码输入的框 , 用户点击登录,利用表单发起post请求提交用户名和密码
步骤3:后台要有一个对应的Servlet来处理登录的请求
- 登录成功:跳转到部门列表页面
- 登录失败:跳转到提供的登录失败的页面
登录功能实现了,目前存在的最大的问题这个登录没有真正起到拦截的作用
- 只要用户知道后端的请求路径,照样可以在不登录的情况下访问系统当中的数据进行增删改这些危险的操作
使用session机制登录成功之后,可以将用户的登录信息存储到session当中
- session中如果有用户的信息就代表用户登录成功了
- session中没有用户信息,表示用户没有登录过则跳转到登录页面
@WebServlet({"/user/login","/user/exit"})
public class UserServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
String servletPath = request.getServletPath();
if("/user/login".equals(servletPath)){
doLogin(request, response);
}else if("/user/exit".equals(servletPath)){
doExit(request, response);
}
}
}
protected void doLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
boolean success = false;
// 获取用户名和密码,验证是否正确
// 前端你是这样提交的:username=admin&password=123
String username = request.getParameter("username");
String password = request.getParameter("password");
// 连接数据库验证用户名和密码
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
conn = DBUtil.getConnection();
String sql = "select * from t_user where username = ? and password = ?";
// 编译SQL
ps = conn.prepareStatement(sql);
// 给?传值
ps.setString(1, username);
ps.setString(2, password);
// 执行SQL
rs = ps.executeQuery();
// 这个结果集当中最多只有一条数据
if (rs.next()) { // 不需要while循环
// 登录成功
success = true;
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBUtil.close(conn, ps, rs);
}
// 登录成功/失败
if (success) {
// 登录成功必须获取到session对象,没有session也要新建一个session对象
HttpSession session = request.getSession();
//把用户信息存到会话域中
session.setAttribute("username", username);
// 成功,跳转到用户列表页面
response.sendRedirect(request.getContextPath() + "/dept/list");
} else {
// 失败,跳转到失败页面
response.sendRedirect(request.getContextPath() + "/error.jsp");
}
}
当用户直接访问列表页面时会先获取当前的session对象中是否有用户信息
/*// post请求乱码问题
request.setCharacterEncoding("UTF-8");
// 响应中文乱码问题
response.setContentType("text/html;charset=UTF-8");*/
@WebServlet({"/dept/list", "/dept/detail", "/dept/delete", "/dept/save", "/dept/modify"})
public class DeptServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 获取session(这个session是不需要新建的)
// 只是获取当前session,获取不到返回null,访问jsp页面时,jsp就拿到了session对象
HttpSession session = request.getSession(false);
//用户登录过
if(session != null && session.getAttribute("username") != null){
String servletPath = request.getServletPath();
if("/dept/list".equals(servletPath)){
doList(request, response);
}else if("/dept/detail".equals(servletPath)){
doDetail(request, response);
}else if("/dept/delete".equals(servletPath)){
doDel(request, response);
}else if("/dept/save".equals(servletPath)){
doSave(request, response);
}else if("/dept/modify".equals(servletPath)){
doModify(request, response);
}
}else{
// 跳转到登录页面,访问web站点的根即可,自动找到欢迎页面
// response.sendRedirect("/oa/index.jsp");
response.sendRedirect(request.getContextPath() + "/index.jsp");
}
}
安全退出功能
安全退出的按钮在list.jsp动态响应的内容中: 退出后用户不能直接访问用户列表页面
<h3>欢迎${username},在线人数${onlinecount}人h3>
<a href="user/exit">[退出系统]a>
protected void doExit(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// 获取并销毁session,这个session可能为null
HttpSession session = request.getSession(false);
if (session != null) {
// 从session域中删除user对象
session.removeAttribute("user");
// 手动销毁session对象
session.invalidate();
// 销毁cookie(退出系统将所有的cookie全部销毁)
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
// 设置cookie的有效期为0,表示删除该cookie
cookie.setMaxAge(0);
// 设置一个下cookie的路径
cookie.setPath(request.getContextPath()); // 删除cookie的时候注意路径问题。
// 响应cookie给浏览器,浏览器端会将之前的cookie覆盖。
response.addCookie(cookie);
}
}
// 换一种方案
/*Cookie cookie1 = new Cookie("username","");
cookie1.setMaxAge(0);
cookie1.setPath(request.getContextPath());
Cookie cookie2 = new Cookie("password", "");
cookie2.setMaxAge(0);
cookie2.setPath(request.getContextPath());
response.addCookie(cookie1);
response.addCookie(cookie2);*/
// 跳转到登录页面
response.sendRedirect(request.getContextPath());
}
}
三种域对象
这三个域对象的大小关系: request < session < application, 尽量使用小的域
- request 请求域(请求级别的), 对应的类名:HttpServletRequest
- session会话域(用户级别的), 对应的类名:HttpSession
- application应用域(项目级别的,所有用户共享的)对应的类名:ServletContext
他们三个域对象都有以下三个公共的方法
- setAttribute(向域当中绑定数据)
- getAttribute(从域当中获取数据)
- removeAttribute(删除域当中的数据)。
Cookie
jakarta.servlet.http.Cookie
session的实现原理中,每一个session对象都会关联一个sessionid,JSESSIONID=41C481F0224664BDB28E95081D23D5B8(这个键值对数据其实就是cookie对象)
- 为什么要有cookie和session机制 , 因为HTTP协议是无状态无连接协议
cookie怎么生成?cookie保存在什么地方?cookie有啥用?浏览器什么时候会发送cookie,发送哪些cookie给服务器?
- 你每访问一个网站服务器都会给你返回它对应的cookie,浏览器会接收并保存在运行内存中/硬盘文件中(浏览器只要关闭cookie就消失了)
- cookie和session机制其实都是为了保存会话的状态: cookie是将会话的状态保存在浏览器客户端上, session是将会话的状态保存在服务器端上
- 在HTTP协议中是这样规定的:当浏览器发送请求的时候,会自动携带该path下的cookie数据给服务器(URL)
cookie的经典案例: 在未登录的情况下向购物车中放几件商品。关闭商城再次打开浏览器访问的时候,购物车中的商品还在
- 将购物车中的商品编号放到cookie当中,cookie保存在硬盘文件当中, 下一次打开商城会自动读取本地硬盘中存储的cookie,动态展示购物车中的商品
- 京东存储购物车中商品的cookie对象可能是这样的:productIds=xxxxx,yyyy,zzz,kkkk
126邮箱中有一个功能:用户输入正确的用户名和密码,并且同时选择十天内免登录
- 登录成功后浏览器客户端会保存一个cookie,这个cookie中保存了用户名和密码等信息,这个cookie是保存在硬盘文件当中的,十天有效
- 在十天内用户再次访问126的时候,浏览器自动提交126的关联的cookie给服务器,服务器接收到cookie之后,获取用户名和密码验证之后自动登录成功
- 怎么让cookie失效: 十天过后自动失效, 或者改密码, 或者在客户端浏览器上清除cookie(ctrl + shift + delete)
cookie机制和session机制不是java中的机制而是HTTP协议的一部分, 做web开发不管是什么编程语言,cookie和session机制都是需要的
- HTTP协议中规定:任何一个cookie都是由name和value组成的, name和value都是字符串类型的,sessionid就是一个cookie对象
在java的servlet中对cookie提供的支持
- 提供了一个Cookie类来专门表示cookie数据, jakarta.servlet.http.Cookie
- 提供了一个方法把cookie数据发送给浏览器: response.addCookie(cookie)
| 方法名 | 功能 |
|---|---|
| Cookie (key,value) | 只有一个有参构造方法用来创建Cookie对象 |
| getName() | 获取cookie的name |
| getValue() | 获取cookie的value |
| setMaxAge(int) | 设置cookie的有效时间,以秒为单位, cookie.setMaxAge(60 * 60)表示设置cookie在一小时之后失效 |
| setPath(“”) | 手动设置cookie关联的路径 |
关于cookie的有效时间
- 没有设置有效时间:默认保存在浏览器的运行内存中,浏览器关闭则cookie消失
- 只要设置cookie的有效时间 > 0,这个cookie一定会存储到硬盘文件当中
- 设置cookie的有效时间 = 0 : cookie被删除,删除浏览器上的同名cookie
- 设置cookie的有效时间 < 0 : 保存在运行内存中和不设置一样
cookie关联的路径: 假设现在的cookie是由发送“http://localhost:8080/servlet13/cookie/generate”请求路径对应的Servlet生成的
- 如果cookie没有设置path,当发送的请求路径是http://localhost:8080/servlet13/cookie或它的子路径时都会携带cookie发送到服务器
- 手动设置cookie的path, cookie.setPath(“/servlet13”)表示只要是/servlet13或者它的子路径,都会提交cookie到服务器
浏览器发起请求,服务器生成cookie并响应到浏览器
@WebServlet("/cookie/generate")
public class GenerateCookie extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 创建Cookie对象
Cookie cookie = new Cookie("productid", "12345645623145612");
Cookie cookie2 = new Cookie("username", "zhangsan");
// 设置cookie的有效期 < 0,表示该cookie不会被存储(表示不会被存储到硬盘文件中,会放在浏览器运行内存当中),和不调用sexMaxAge是同一个效果
cookie.setMaxAge(-1);
cookie2.setMaxAge(-1);
cookie.setPath(request.getContextPath());
cookie2.setPath(request.getContextPath());
// 将cookie响应到浏览器
response.addCookie(cookie);
response.addCookie(cookie2);
}
}
浏览器发送cookie给服务器了,通过java程序接收到浏览器发送过来的cookie
@WebServlet("/sendCookie")
public class ReceiveCookie extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 当然通过request对象了(返回值是一个数组,因为浏览器可能会提交多个cookie给服务器)
// 注意细节:这个方法可能会返回null。如果浏览器没有提交cookie,这个方法返回值是null,并不是返回一个长度为0的数组
Cookie[] cookies = request.getCookies();
// 如果不是null,表示一定有cookie
if (cookies != null) {
// 遍历数组
for (Cookie cookie : cookies) {
// 获取cookie的name和value
String name = cookie.getName();
String value = cookie.getValue();
System.out.println(name + "=" + value);
}
}
}
}
cookie实现十天内免登录功能
在登录页面给一个复选框,复选框后面给一句话十天内免登录
- 用户选择了复选框表示用户想要十天内免登录 , 没有选择复选框表示用户不想使用十天内免登录功能
<%@page contentType="text/html;charset=UTF-8"%>
<%--访问jsp的时候不生成session对象。--%>
<%@page session="false" %>
欢迎使用OA系统
LOGIN PAGE
<%--前端页面发送请求的时候,请求路径以“/”开始,带项目名。--%>
如果用户登录成功了,并且用户登录时也选择了十天内免登录功能
- 在Servlet的login方法中创建cookie用来存储用户名和密码,并且设置路径,有效期(浏览器将其自动保存在硬盘文件当中10天),最后将cookie响应给浏览器
@WebServlet({"/user/login","/user/exit"})
public class UserServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
String servletPath = request.getServletPath();
if("/user/login".equals(servletPath)){
doLogin(request, response);
}else if("/user/exit".equals(servletPath)){
doExit(request, response);
}
}
protected void doLogin(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
boolean success = false;
// 获取用户名和密码,验证是否正确
// 前端你是这样提交的:username=admin&password=123
String username = request.getParameter("username");
String password = request.getParameter("password");
// 连接数据库验证用户名和密码
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
try {
conn = DBUtil.getConnection();
String sql = "select * from t_user where username = ? and password = ?";
// 编译SQL
ps = conn.prepareStatement(sql);
// 给?传值
ps.setString(1, username);
ps.setString(2, password);
// 执行SQL
rs = ps.executeQuery();
// 这个结果集当中最多只有一条数据。
if (rs.next()) { // 不需要while循环
// 登录成功
success = true;
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBUtil.close(conn, ps, rs);
}
// 登录成功/失败
if (success) {
// 登录成功必须获取到session对象,没有session也要新建一个session对象
HttpSession session = request.getSession();
//把用户信息存到会话域中
session.setAttribute("username", username);
User user = new User(username, password);
session.setAttribute("user", user);
// 登录成功了,并且用户确实选择了“十天内免登录”功能
String f = request.getParameter("f");
if("1".equals(f)){
// 创建Cookie对象存储登录名
Cookie cookie1 = new Cookie("username", username);
// 创建Cookie对象存储密码,密码一般不直接存储,真实情况下是加密的
Cookie cookie2 = new Cookie("password", password);
// 设置cookie的有效期为十天
cookie1.setMaxAge(60 * 60 * 24 * 10);
cookie2.setMaxAge(60 * 60 * 24 * 10);
// 设置cookie的path(只要访问这个应用,浏览器就一定要携带这两个cookie)
cookie1.setPath(request.getContextPath());
cookie2.setPath(request.getContextPath());
// 响应cookie给浏览器
response.addCookie(cookie1);
response.addCookie(cookie2);
}
// 成功,跳转到用户列表页面
response.sendRedirect(request.getContextPath() + "/dept/list");
} else {
// 失败,跳转到失败页面
response.sendRedirect(request.getContextPath() + "/error.jsp");
}
}
跳转到用户列表页面
@WebServlet({"/dept/list", "/dept/detail", "/dept/delete", "/dept/save", "/dept/modify"})
public class DeptServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 获取session(这个session是不需要新建的)
// 只是获取当前session,获取不到返回null,访问jsp页面时,jsp就拿到了session对象
HttpSession session = request.getSession(false);
//用户登录过
if(session != null && session.getAttribute("username") != null){
String servletPath = request.getServletPath();
if("/dept/list".equals(servletPath)){
doList(request, response);
}else if("/dept/detail".equals(servletPath)){
doDetail(request, response);
}else if("/dept/delete".equals(servletPath)){
doDel(request, response);
}else if("/dept/save".equals(servletPath)){
doSave(request, response);
}else if("/dept/modify".equals(servletPath)){
doModify(request, response);
}
}else{
// 跳转到登录页面
response.sendRedirect(request.getContextPath() + "/index.jsp");
}
}
用户重新打开浏览器再次访问该网站的时候有两个走向, 要么跳转到部门列表页面或跳转到登录页面 , 这两个走向需要编写java程序进行控制的
- 获取到cookie并且用户名和密码也正确,那么直接跳转到部门列表页面, 否则跳转到登录页面
<web-app xmlns="https://jakarta.ee/xml/ns/jakartaee"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="https://jakarta.ee/xml/ns/jakartaee https://jakarta.ee/xml/ns/jakartaee/web-app_5_0.xsd"
version="5.0">
<welcome-file-list>
<welcome-file>welcomewelcome-file>
welcome-file-list>
web-app>
@WebServlet("/welcome")
public class WelcomeServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// 获取cookie
// 这个Cookie[]数组可能是null,如果不是null,数组的长度一定是大于0的
Cookie[] cookies = request.getCookies();
String username = null;
String password = null;
if (cookies != null) {
for (Cookie cookie : cookies) {
String name = cookie.getName();
if("username".equals(name)){
username = cookie.getValue();
}else if("password".equals(name)){
password = cookie.getValue();
}
}
}
// 要在这里使用username和password变量
if(username != null && password != null){
// 验证用户名和密码是否正确
Connection conn = null;
PreparedStatement ps = null;
ResultSet rs = null;
boolean success = false;
try {
conn = DBUtil.getConnection();
String sql = "select * from t_user where username = ? and password = ?";
ps = conn.prepareStatement(sql);
ps.setString(1,username);
ps.setString(2,password);
rs = ps.executeQuery();
if (rs.next()) {
// 登录成功
success = true;
}
} catch (SQLException e) {
e.printStackTrace();
} finally {
DBUtil.close(conn, ps, rs);
}
if (success) {
// 获取session
HttpSession session = request.getSession();
session.setAttribute("username", username);
User user = new User(username, password);
session.setAttribute("user", user);
// 正确,表示登录成功
response.sendRedirect(request.getContextPath() + "/dept/list");
}else{
// 错误,表示登录失败, 跳转到登录页面
response.sendRedirect(request.getContextPath() + "/index.jsp");
}
}else{
// 跳转到登录页面
response.sendRedirect(request.getContextPath() + "/index.jsp");
}
}
}
安全退出
protected void doExit(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// 获取session对象,销毁session
HttpSession session = request.getSession(false);
if (session != null) {
// 从session域中删除user对象
session.removeAttribute("user");
// 手动销毁session对象。
session.invalidate();
// 销毁cookie(退出系统将所有的cookie全部销毁)
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
// 设置cookie的有效期为0,表示删除该cookie
cookie.setMaxAge(0);
// 设置一个下cookie的路径
cookie.setPath(request.getContextPath()); // 删除cookie的时候注意路径问题。
// 响应cookie给浏览器,浏览器端会将之前的cookie覆盖。
response.addCookie(cookie);
}
}
// 换一种方案
/*Cookie cookie1 = new Cookie("username","");
cookie1.setMaxAge(0);
cookie1.setPath(request.getContextPath());
Cookie cookie2 = new Cookie("password", "");
cookie2.setMaxAge(0);
cookie2.setPath(request.getContextPath());
response.addCookie(cookie1);
response.addCookie(cookie2);*/
// 跳转到登录页面
response.sendRedirect(request.getContextPath());
}
}