当涉及到Web应用程序的身份验证和状态管理时,我们通常会使用到Cookie、Session和Token这些会话技术。下面是对它们的介绍,并在JavaWeb中的示例
Cookie是一种存储在用户浏览器中的小型文本文件,由服务器发送给浏览器,然后浏览器在后续请求中将其包含在HTTP头中发送回服务器。Cookie通常用于跟踪用户的会话状态、存储用户偏好设置等。
服务端提供了两个Servlet,分别是ServletA和ServletB
浏览器发送HTTP请求1给服务端,服务端ServletA接收请求并进行业务处理
服务端ServletA在处理的过程中可以创建一个Cookie对象并将name=zs
的数据存入Cookie
服务端ServletA在响应数据的时候,会把Cookie对象响应给浏览器
浏览器接收到响应数据,会把Cookie对象中的数据存储在浏览器内存中,此时浏览器和服务端就建立了一次会话
在同一次会话中浏览器再次发送HTTP请求2给服务端ServletB,浏览器会携带Cookie对象中的所有数据
ServletB接收到请求和数据后,就可以获取到存储在Cookie对象中的数据,这样同一个会话中的多次请求之间就实现了数据共享
在Java中使用Cookie,可以使用javax.servlet.http.Cookie
类进行操作。以下是使用Cookie的简单示例:
Cookie cookie = new Cookie("username", "john");
cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时
response.addCookie(cookie); // 将Cookie添加到响应中
// 从请求中获取Cookie
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("username")) {
String username = cookie.getValue();
// 处理用户名
}
}
}
在spring中的使用,以登陆为例,在Controller层,Cookie常用于存储和获取用户的身份信息或其他状态信息。当用户进行登录时,Controller可以将用户的身份信息存储在Cookie中,并在后续请求中读取该Cookie来验证用户身份。:
// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,
@RequestParam("password") String password,
HttpServletResponse response) {
// 验证用户名和密码
if (authenticate(username, password)) {
// 登录成功,创建Cookie并设置相关信息
Cookie cookie = new Cookie("username", username);
cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时
response.addCookie(cookie);
return "redirect:/home";
} else {
// 登录失败
return "redirect:/login";
}
}
// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpServletRequest request) {
// 从请求中获取Cookie
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (cookie.getName().equals("username")) {
String username = cookie.getValue();
// 处理用户身份
return "profile";
}
}
}
// 用户未登录,跳转到登录页
return "redirect:/login";
}
Session是一种在服务器端存储用户状态信息的机制。当用户访问Web应用程序时,服务器会为每个用户创建一个唯一的会话,并为该会话分配一个唯一的标识符(Session ID)。服务器使用该标识符来识别特定的用户会话并存储相关数据。
在服务端的AServlet获取一个Session对象,把数据存入其中
在服务端的BServlet获取到相同的Session对象,从中取出数据
就可以实现一次会话中多次请求之间的数据共享了
在Java中,可以使用javax.servlet.http.HttpSession
接口来管理会话对象。以下是使用Session的示例:
// 创建或获取会话对象
HttpSession session = request.getSession();
// 在会话中存储数据
session.setAttribute("username", "john");
// 从会话中获取数据
String username = (String) session.getAttribute("username");
在Controller层,Session通常用于存储和获取用户的会话状态信息。当用户进行登录时,Controller可以在Session中存储用户的身份信息或其他相关数据,在后续的请求中使用该Session来验证用户身份和获取用户信息:
// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,
@RequestParam("password") String password,
HttpSession session) {
// 验证用户名和密码
if (authenticate(username, password)) {
// 登录成功,将用户信息存储在Session中
session.setAttribute("username", username);
return "redirect:/home";
} else {
// 登录失败
return "redirect:/login";
}
}
// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpSession session) {
// 从Session中获取用户信息
String username = (String) session.getAttribute("username");
if (username != null) {
// 处理用户身份
return "profile";
}
// 用户未登录,跳转到登录页
return "redirect:/login";
}
Token是一种无状态的身份验证机制,用于验证客户端的身份。服务器在用户进行身份验证后,生成一个包含用户信息的令牌,并将其发送给客户端。客户端在后续请求中将令牌包含在请求头中发送给服务器,服务器通过验证令牌来确认用户的身份。
在Java中,可以使用JSON Web Token(JWT)库来生成和验证令牌。使用JWT:
import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;
// 生成令牌
String secretKey = "yourSecretKey";
String token = Jwts.builder()
.setSubject("john")
.setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间为1小时
.signWith(SignatureAlgorithm.HS512, secretKey)
.compact();
request.setHeader("token",token);
// 验证令牌
Claims claims = Jwts.parser()
.setSigningKey(secretKey)
.parseClaimsJws(token)
.getBody();
String username = claims.getSubject();
在Controller层,Token常用于进行API身份验证。当客户端通过API请求访问受保护的资源时,Controller可以验证传递的Token,从中提取用户身份信息,并根据验证结果进行相应的处理。
// API请求处理
@RequestMapping("/api/profile")
public ResponseEntity> getProfile(@RequestHeader("Authorization") String token) {
// 验证Token
if (validateToken(token)) {
String username = extractUsernameFromToken(token);
// 处理用户身份
UserProfile userProfile = getUserProfile(username);
return ResponseEntity.ok(userProfile);
} else {
return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
}
}
大概就是这么个使用法的 ,下面是八股文,它们的区别:
存储位置:
数据存储方式:
安全性:
生命周期:
跨域支持: