java基础——Cookie 和Session
文章目录
- 1、Cookie和Session的区别
- 2、Cookie
-
- 1.1、Cookie机制
- 1.2、Java提供的操作Cookie的API
-
- 1、cookie读取和设置
- 2、 Cookie的不可跨域名性
- 3、Unicode编码:保存中文
- 4、Cookie的有效期
- 3、Session
-
- 3.1、什么是Session
- 3.2、Session常用API
-
- 1、使用Session
- 2、Session的有效期
web中什么是会话:
用户开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。每个用户在使用浏览器与服务器进行会话的过程中,不可避免各自会产生一些数据,程序要想办法为每个用户保存这些数据。
Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。
1、Cookie和Session的区别
| 区别 | Cookie | Session |
|---|---|---|
| 存在 | Cookie是客户端技术,通常保存在客户端,即本地,IE浏览器把Cookie信息保存在类似于C:\windows\cookies的目录下。因为Cookie在客户端所以可以编辑伪造,不是十分安全 | Session是服务器端技术,在服务端,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象,由于session为用户浏览器独享,所以用户在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问服务器中的其它web资源时,其它web资源再从用户各自的session中取出数据为用户服务 |
| 存储数据 | 只能存储 String 类型的对象 | 能够存储任意的 java 对象 |
| 性能 | Cookie存在客户端对服务器没影响 | Session过多时会消耗服务器资源,大型网站会有专门Session服务器 |
| 作用域 | Cookie通过设置指定作用域只能在指定作用域有效 | Session在整个网页都有效 |
| 作用时间 | Cookie可以通过 setMaxAge设置有效时间,即使浏览器关闭了仍然存在 | 关闭网页Session就结束了 |
2、Cookie
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。
1.1、Cookie机制
在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放入用户B或用户C的购物车内,这不属于同一个会话。
而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话,必须引入一种机制。
Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。
1.2、Java提供的操作Cookie的API
| NO | 方法############################## | 类型 | 描述 |
|---|---|---|---|
| 1 | Cookie(String name, String value) | 构造方法 | 实例化Cookie对象,设置Cookie的名称和cookie的值 |
| 2 | public String getName() | 普通方法 | 取得Cookie的名字 |
| 3 | public String getValue() | 普通方法 | 取得Cookie的值 |
| 4 | public void setValue(String newValue) | 普通方法 | 设置Cookie的值 |
| 5 | public void setMaxAge(int expiry) | 普通方法 | 该Cookie失效的时间,单位秒。如果为正数,则该Cookie在maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1 |
| 6 | public int getMaxAge() | 普通方法 | 获取Cookies的有效期 |
| 7 | public void setPath(String uri) | 普通方法 | 设置cookie的有效路径,比如把cookie的有效路径设置为"/xdp",那么浏览器访问"xdp"目录下的web资源时,都会带上cookie,再比如把cookie的有效路径设置为"/xdp/gacl",那么浏览器只有在访问"xdp"目录下的"gacl"这个目录里面的web资源时才会带上cookie一起访问,而当访问"xdp"目录下的web资源时,浏览器是不带cookie的 |
| 8 | public String getPath() | 普通方法 | 获取cookie的有效路径 |
| 9 | public void setDomain(String pattern) | 普通方法 | 设置cookie的有效域 |
| 10 | public String getDomain() | 普通方法 | 获取cookie的有效域 |
1、cookie读取和设置
Java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的所有Cookie(以Cookie[]数组形式返回),通过response.addCookie(Cookiecookie)向客户端设置Cookie。
Cookie对象使用key-value属性对的形式保存用户状态,一个Cookie对象保存一个属性对,一个request或者response同时使用多个Cookie。因为Cookie类位于包javax.servlet.http.*下面,所以JSP中不需要import该类。
2、 Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?
答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。
3、Unicode编码:保存中文
中文与英文字符不同,中文属于Unicode字符,在内存中占4个字符,而英文属于ASCII字符,内存中只占2个字节。Cookie中使用Unicode字符时需要对Unicode字符进行编码,否则会乱码。
提示:Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码。
4、Cookie的有效期
Cookie的maxAge决定着Cookie的有效期,单位为秒(Second)。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。
如果maxAge属性为正数,则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化,即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑,只要还在maxAge秒之前,登录网站时该Cookie仍然有效。下面代码中的Cookie信息将永远有效。
如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。maxAge为负数的Cookie,为临时性Cookie,不会被持久化,不会被写到Cookie文件中。Cookie信息保存在浏览器内存中,因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为–1。
如果maxAge为0,则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除,
response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie)。
要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie,达到修改的目的。删除时只需要把maxAge修改为0即可。
注意:从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交。浏览器提交Cookie时只会提交name与value属性。maxAge属性只被浏览器用来判断Cookie是否过期。
例:
public class CookieDemo01 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//解决中文乱码
req.setCharacterEncoding("utf-8");
resp.setContentType("text/html;charset=utf-8");
PrintWriter out = resp.getWriter();
//从客户端获取cookie
Cookie[] cookies = req.getCookies();
//判断cookie是否存在
if (cookies != null) {
out.write("上一次访问的时间是:");
for (int i = 0; i < cookies.length; i++) {
Cookie cookie = cookies[i];
if ("lastTime".equals(cookie.getName())) {
//获取cookie中的值
long lastTime = Long.parseLong(cookie.getValue());
Date date = new Date();
out.write(date.toLocaleString());
}
}
} else {
out.write("这是第一次访问!");
}
//服务器给客户端响应一个cookie
Cookie cookie = new Cookie("lastTime", System.currentTimeMillis() + "");
//设置cookie的有效期,单位秒
cookie.setMaxAge(10*60);
resp.addCookie(cookie);
}
}
3、Session
3.1、什么是Session
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
3.2、Session常用API
标红的都是常用的API
| 方法 | 描述 |
|---|---|
| long getCreationTime() | 获取Session被创建时间 |
| String getId() | 获取Session的id |
| long getLastAccessedTime() | 返回Session最后活跃的时间 |
| ServletContext getServletContext() | 获取ServletContext对象 |
| void setMaxInactiveInterval(int var1) | 设置Session超时时间 |
| int getMaxInactiveInterval() | 获取Session超时时间 |
| Object getAttribute(String var1) | 获取Session属性 |
| Enumeration getAttributeNames() | 获取Session所有的属性名 |
| void setAttribute(String var1, Object var2) | 设置Session属性 |
| void removeAttribute(String var1) | 移除Session属性 |
| void invalidate() | 销毁该Session |
| boolean isNew() | 该Session是否为新的 |
1、使用Session
步骤:
- 得到Session(req.getSession())
- 给Session存东西(setAttribute(name,value))
- 获取Session的ID(getId())
- 判断Session是不是新创建的(inNes方法判断)
public class GetServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//设置请求编码
req.setCharacterEncoding("utf-8");
//设置响应编码
resp.setContentType("text/html;charset=UTF-8");
PrintWriter out = resp.getWriter();
//得到Session
HttpSession session = req.getSession();
//给session存东西
req.setAttribute("name","大明");
// 获取session的ID
String SessionID = session.getId();
//判断Session是否已经存在服务器
if (session.isNew()) {
out.write("Session创建成功,ID为:" + SessionID);
} else {
out.write("Session已经在服务器了,ID是:"+SessionID);
}
}
}
2、Session的有效期
-
Session的有效期是指不活动的时间,如果我们设置是60s,在60s之前,没有访问Session,Session属性失效,若你在60s再次访问过Session,则重新计时。
-
如果重启了tomcat,reload web应用,或者关机了,Session也会失效。如果希望某个Session失效,可以使用removeAttribute()设置。
-
Cookie的生命周期按累计的时间来计算的。
-
Session在用户第一次访问服务器Servlet,JSP等动态资源时就会被自动创建,Session对象保存在内存里,这也就为什么上面的例子可以直接使用request对象获取得到Session对象。
-
如果访问HTML,IMAGE等静态资源Session不会被创建。
-
Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,无论是否对Session进行读写,服务器都会认为Session活跃了一次。
-
由于会有越来越多的用户访问服务器,因此Session也会越来越多。为了防止内存溢出,服务器会把长时间没有活跃的Session从内存中删除,这个时间也就是Session的超时时间。
-
Session的超时时间默认是30分钟。有三种方式可以对Session的超时时间进行修改。
- 在web.xml文件中可以手工配置session的失效时间(单位:分钟):
<session-config>
<session-timeout>15session-timeout>
session-config>
————————————————
参考文章