Java网络开发(Session)—— 从http请求 到 cookie 到 session & 用 session控制 删改数据的权限
目录
- 引出
- 1.http请求的特点---无状态
- 2.cookie是啥?能干啥?VS local Storage
-
- (1)初识cookie VS local Storage
- (2)用tomcat的servlet理解cookie
- (3)cookie能干啥?
- 3.session是啥?
-
- (1)从cookie到session
- (2)应用:用session记录登录成功的User对象
- 4.用session控制数据 删改权限
- 总结
引出
http请求的特点,无状态,如何保存登陆信息?
cookie是啥,和local Storage的区别,cookie有啥用?
session是啥,session能干啥?
1.http请求的特点—无状态
http请求是无状态的,指的是:http协议协议对于事务处理没有记忆能力,不能保存每次客户端提交的信息,即当服务器返回应答之后,这次事务的所有信息就都丢掉了。如果用户发来一个新的请求,服务器也无法知道它是否与上次的请求有联系。
解决HTTP无状态的方法:
采用会话跟踪技术来解决这个问题。把状态保存在服务器中,只发送回一个标识符,浏览器在下次提交中把这个标识符发送过来;这样,就可以定位存储在服务器上的状态信息了。
会话跟踪的方法:cookie 和 session
2.cookie是啥?能干啥?VS local Storage
(1)初识cookie VS local Storage
如下图所示是cookie
(1)cookie,HTTP Cookie(也叫 Web Cookie 或浏览器 Cookie)是服务器发送到用户浏览器并保存在本地的一小块数据;
(2)浏览器会存储 cookie 并在下次向同一服务器再发起请求时携带并发送到服务器上;
(3)不同浏览器访问同一个服务器,cookie空间是独立的;同一个浏览器访问不同的服务器,cookie空间也是独立的;
(4)cookie可以告知服务端两个请求是否来自同一浏览器——如保持用户的登录状态;
(5)Cookie 使基于无状态的 HTTP 协议记录稳定的状态信息成为了可能;
(6)cookie的本质是一个键值对
local Storage也是一个存储空间,和cookie的区别:
cookie每次访问服务器的时候,会发给服务器,local Storage里的东西保存在本地,在请求服务器的时候,不会发给服务器;
(2)用tomcat的servlet理解cookie
CookieDemoServlet.java代码如下:
package com.tianju.servlet.cookie;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
/**
* cookie生成在服务器,发给浏览器,保存在浏览器;
* 每个网站,都有自己独立的cookie空间
*/
@WebServlet("/setCookieDemo")
public class CookieDemoServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
// new cookie对象
Cookie cookie = new Cookie("name", "peter");
Cookie cookie1 = new Cookie("age", "19");
cookie.setMaxAge(100);
// 把对象添加到响应中;
resp.addCookie(cookie);
resp.addCookie(cookie1);
resp.getWriter().write("add success");
}
}
如下图所示,访问该服务的时候,由tomcat服务器进行处理,设置了cookie,然后作为响应发给浏览器,浏览器拿到cookie时把cookie存到了浏览器本地的cookie存储空间中;
cookie本质是键值对,主要参数如下:
- Name:这个是cookie的名字
- Value:这个是cooke的值
- Path:这个定义了Web站点上可以访问该Cookie的目录
- Expires:这个值表示cookie的过期时间,也就是有效值,cookie在这个值之前都有效。
- Size:这个表示cookie的大小
(3)cookie能干啥?
cookie的首次访问和再次访问:
(1)首次访问,请求中没有cookie,服务器生成cookie,传给浏览器;
(2)第二次访问,请求中有cookie,把cookie以及其他发给服务器;
cookie的问题:
不安全:可以任意添加;可以被修改;
但是cookie可以从浏览器给服务器发送数据,既然可以发送数据,那就可以用这个数据做一些事情。
3.session是啥?
(1)从cookie到session
- 1.生成一个cookie ,name:JSESSIONID 值:6AC5747CDCF5C2E9788F0412AA904157
- 2.服务器上以值:6AC5747CDCF5C2E9788F0412AA904157:,指向服务器上的一块空间;
- 3.在这块存储空间中,可以使用session.setAttribute存储资源;
- 4.使用session.getAttribute() 获取资源
- 5.把这个Session发给前端
在Servlet中,在session空间中设置一个键值对
String username = req.getParameter("username");
// 获取session
HttpSession session = req.getSession();
// 设置一个键值对
session.setAttribute("username", username);
然后通过下面方式,拿到该键值对:
HttpSession session = req.getSession();
Object name = session.getAttribute("username");
System.out.println(name);
(2)应用:用session记录登录成功的User对象
用下面方式,就可以在登陆成功后,在服务器的session空间中存储登陆成功的对象;
此时,当浏览器再次访问服务器时,浏览器带着cookie里的JSESSIONID发送到服务器;
服务器再根据JSESSIONID定位到服务器的session空间;
然后用,session.getAttribute(“username”);就可以获得之前保存在session中的数据;
// 3.用输入的用户名去数据库中查询一条记录
User userDb = userService.queryByUsername(username);
// +登陆成功的用户存到session----用于确定当前的操作是谁做的
req.getSession().setAttribute("user", userDb);
4.用session控制数据 删改权限
其实就是在删除 或 修改的时候看一下要修改的书的作者的id是否等于当前session中保存的user对象的id是否一致,如果不一致,就不能操作;
// 获取要删除的id
String id = req.getParameter("id");
HttpSession session = req.getSession();
User user = (User) session.getAttribute("user");
// 根据id查一条图书信息出来
Opus find = opusService.queryById(Integer.parseInt(id));
if (!find.getAuthorId().equals(user.getId())){
// 如果修改的 人的id 修改的 不是自己 名下的 就不能修改
System.out.println("没有权限");
return;
}
总结
1.http请求是无状态的,因此出现了cookie;
2.cookie不安全,里面的值可以被随便改;
3.用cookie里的JESSIONID值对应服务的session存储空间;
4.在服务器的这个空间里保存信息,记录登陆成功的user;
5.在删改时,每次浏览器请求,cookie也会发给服务器,服务器用cookie里的JESSIONID找到对应的session区域,然后再找到这个session中的用户信息,就能控制删改权限;