Cookie和Session的知识点
此文章参考自韩顺平老师视频
一、Cookie
1.Cookie在服务器端创建
2.Cookie保存在浏览器端
3.Cookie的生命周期可以通过cookie.setMaxAge(2000)(单位为秒)设置,如果不设置或者设置为负数,则默认为会话级别,当浏览器关闭时就消失。
4.Cookie可以被多个浏览器共享
5.Cookie如果重名,就会替换已存在的Cookie值
6.一个web应用可以有多个Cookie,但在浏览器的临时文件夹中只有一个文件
7.Cookie存放的时候是以明文方式存放,因此安全较低,需要加密后再保存
8.一个浏览器最多放入300个Cookie,一个web站点最多20个cookie,而且一个cookie大小 限制为4K
9.如果一个Web应用只有一个Cookie,则删除该Cookie后,在浏览器的临时文件夹中的Cookie文件也会被删除;如果一个web应用中有多个cookie,删除其中一个cookie后,文件不会被删除,只删除了该Cookie的内容
示例:
二、Session
1.Session保存在服务器的内存中
2.一个用户浏览器独享一个Session对象
3.Session中的属性默认生命周期是30分钟。以tomcat为例,可以通过web.xml修改
位置:/tomcat/conf/web.xml
<session-config>
<session-timeout>30</session-timeout>
</session-config>
对所有的Web应用生效。
也可以在单个web应用修改web.xml
<session-config>
<session-timeout>30</session-timeout>
</session-config>
如果与服务器冲突,则以自己web应用设置为准
通过程序实现session.setMaxInactiveInterval(10)
4.Session中可以存在多个属性,属性值可以为对象
5.如果名字重复,新值替换旧值
6.session周期是指发呆时间。如我们设置Session时间10s,则在10s内,用户没有访问,则Session失效;如果10s内有访问,则Session重新计时;
7.如果重启web服务器,或者reload web应用,或者关闭机器,session失效。
8.通过Session的方法invalidate()方法可以让Session中所有的属性失效,常用于安全退出。
9.如果希望某个属性失败,则可以使用方法removeAttribute(Stirng name)方法。
三、两者比较
1.存在位置
Cookie存在客户端的临时文件
Session存在服务器的内存中
2.安全性
Cookie是以明文方式存放在客户端,安全弱,可以通过MD5加密再存放
Session是存放在服务器内存中,安全性好
3.网络传输量
Cookie会传递信息给服务器
Session的属性值不存在客户端
4.生命周期
Cookie的生命周期是累计时间,如果我们给Cookie设置setMaxAge(30),则30s后失败
Session的生命周期是间隔时间,如我们设置session 20min,指在20Min内,如果没有访问session,则session失效(无法取出session属性),下列几种情况,session也会失效。
a.关闭Web服务器
b.reload web应用
c.session时间到
d.invalidate也会让session失效
5.使用原则
因为Session会占用服务器的内存,因此不要向session存放过多,过多会影响性能
案例1: 当浏览器关闭,但session还没有过时,下次访问时再访问此session的值(前提:浏览器没有关闭cookie功能)。如下例:
将值存入SESSION,Servlet1:
相应HTTP请求:
从SESSION中获取值,Servlet2:
相应HTTP请求:
关闭浏览器后,运行Servlet2:
很明显可发现JSESSIONID已经不是浏览器关闭前的JSESSIONID,因此不能取到值。
将Servlet1修改如下:
关闭浏览器后,由于JSESSIONID存入COOIKE中,关闭浏览器后,仍然可以取到浏览器关闭前的SESSION。
案例2:浏览器关闭了cookie功能,则session功能也会受到相应的影响,如案例1,如果关闭了cookie功能,就算运行了Servlet1保存了数据,再运行Servlet2取数据时也取不到。需要用如下URl:http://localhost:8080/HttpDemo/Servlet2;jsessionid=E3662A7541B9A687ABA18CC826B3D226,由如下解决方案解决。
解决方案:首先需要运行request.getSession(),再运行response.encodeRedirectURL(Stirng url)或者response.encodeURL(String url),生成的URl就和上面展示的一致,这样就可以取到Session中的值
一、Cookie
1.Cookie在服务器端创建
2.Cookie保存在浏览器端
3.Cookie的生命周期可以通过cookie.setMaxAge(2000)(单位为秒)设置,如果不设置或者设置为负数,则默认为会话级别,当浏览器关闭时就消失。
4.Cookie可以被多个浏览器共享
5.Cookie如果重名,就会替换已存在的Cookie值
6.一个web应用可以有多个Cookie,但在浏览器的临时文件夹中只有一个文件
7.Cookie存放的时候是以明文方式存放,因此安全较低,需要加密后再保存
8.一个浏览器最多放入300个Cookie,一个web站点最多20个cookie,而且一个cookie大小 限制为4K
9.如果一个Web应用只有一个Cookie,则删除该Cookie后,在浏览器的临时文件夹中的Cookie文件也会被删除;如果一个web应用中有多个cookie,删除其中一个cookie后,文件不会被删除,只删除了该Cookie的内容
示例:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
/*
*http请求消息头
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*\/*;q=0.8
Accept-Encoding:gzip,deflate,sdch
Accept-Language:zh-CN,zh;q=0.8,en;q=0.6
Cache-Control:max-age=0
Connection:keep-alive
Cookie:JSESSIONID=4229626B94753F514FD1EC8E89737442; lasttme="2014-05-06 10:43:46"; lasttime="2014-05-06 10:45:42"
Host:localhost:8080
User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
*/
Cookie[] cookies = request.getCookies();
boolean firstLogin = true;
if(null != cookies){
for(Cookie cookie : cookies){
if("lasttime".equals(cookie.getName())){
/**
* 删除Cookie
cookie.setMaxAge(0);
response.addCookie(cookie);
*/
out.print("上次登录时间:" + cookie.getValue());
SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
String nowDate = sdf.format(new Date());
cookie.setValue(nowDate);
response.addCookie(cookie);
firstLogin = false;
break;
}
}
}
if(firstLogin){
out.print("第一次登录");
SimpleDateFormat sdf = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
String nowDate = sdf.format(new Date());
Cookie cookie = new Cookie("lasttime",nowDate);
//保存一周
cookie.setMaxAge(7*3600*24);
/*
*http响应消息头
Content-Length:40
Content-Type:text/html;charset=utf-8
Date:Tue, 06 May 2014 02:45:43 GMT
Server:Apache-Coyote/1.1
Set-Cookie:lasttime="2014-05-06 10:45:43"; Version=1
*/
response.addCookie(cookie);
}
}
二、Session
1.Session保存在服务器的内存中
2.一个用户浏览器独享一个Session对象
3.Session中的属性默认生命周期是30分钟。以tomcat为例,可以通过web.xml修改
位置:/tomcat/conf/web.xml
<session-config>
<session-timeout>30</session-timeout>
</session-config>
对所有的Web应用生效。
也可以在单个web应用修改web.xml
<session-config>
<session-timeout>30</session-timeout>
</session-config>
如果与服务器冲突,则以自己web应用设置为准
通过程序实现session.setMaxInactiveInterval(10)
4.Session中可以存在多个属性,属性值可以为对象
5.如果名字重复,新值替换旧值
6.session周期是指发呆时间。如我们设置Session时间10s,则在10s内,用户没有访问,则Session失效;如果10s内有访问,则Session重新计时;
7.如果重启web服务器,或者reload web应用,或者关闭机器,session失效。
8.通过Session的方法invalidate()方法可以让Session中所有的属性失效,常用于安全退出。
9.如果希望某个属性失败,则可以使用方法removeAttribute(Stirng name)方法。
三、两者比较
1.存在位置
Cookie存在客户端的临时文件
Session存在服务器的内存中
2.安全性
Cookie是以明文方式存放在客户端,安全弱,可以通过MD5加密再存放
Session是存放在服务器内存中,安全性好
3.网络传输量
Cookie会传递信息给服务器
Session的属性值不存在客户端
4.生命周期
Cookie的生命周期是累计时间,如果我们给Cookie设置setMaxAge(30),则30s后失败
Session的生命周期是间隔时间,如我们设置session 20min,指在20Min内,如果没有访问session,则session失效(无法取出session属性),下列几种情况,session也会失效。
a.关闭Web服务器
b.reload web应用
c.session时间到
d.invalidate也会让session失效
5.使用原则
因为Session会占用服务器的内存,因此不要向session存放过多,过多会影响性能
案例1: 当浏览器关闭,但session还没有过时,下次访问时再访问此session的值(前提:浏览器没有关闭cookie功能)。如下例:
将值存入SESSION,Servlet1:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
HttpSession session = request.getSession();
session.setAttribute("username", "xxxxx");
out.println("数据写入成功");
}
相应HTTP请求:
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Encoding:gzip,deflate,sdch Accept-Language:zh-CN,zh;q=0.8,en;q=0.6 Cache-Control:max-age=0 Connection:keep-alive Cookie:JSESSIONID=E3662A7541B9A687ABA18CC826B3D226; lasttme="2014-05-06 10:43:46" Host:localhost:8080 User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
从SESSION中获取值,Servlet2:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
String username = (String) request.getSession().getAttribute("username");
out.println("username = " + username);
}
相应HTTP请求:
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Encoding:gzip,deflate,sdch Accept-Language:zh-CN,zh;q=0.8,en;q=0.6 Connection:keep-alive Cookie:JSESSIONID=E3662A7541B9A687ABA18CC826B3D226; lasttme="2014-05-06 10:43:46" Host:localhost:8080 User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
关闭浏览器后,运行Servlet2:
Accept:text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8 Accept-Encoding:gzip,deflate,sdch Accept-Language:zh-CN,zh;q=0.8,en;q=0.6 Cache-Control:max-age=0 Connection:keep-alive Cookie:JSESSIONID=54849133A2E12577921C871FFC091BDE; lasttme="2014-05-06 10:43:46" Host:localhost:8080 User-Agent:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/34.0.1847.131 Safari/537.36
很明显可发现JSESSIONID已经不是浏览器关闭前的JSESSIONID,因此不能取到值。
将Servlet1修改如下:
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
HttpSession session = request.getSession();
session.setAttribute("username", "xxxxx");
out.println("数据写入成功");
Cookie cookie = new Cookie("JSESSIONID",session.getId());
cookie.setMaxAge(3600);
response.addCookie(cookie);
}
关闭浏览器后,由于JSESSIONID存入COOIKE中,关闭浏览器后,仍然可以取到浏览器关闭前的SESSION。
案例2:浏览器关闭了cookie功能,则session功能也会受到相应的影响,如案例1,如果关闭了cookie功能,就算运行了Servlet1保存了数据,再运行Servlet2取数据时也取不到。需要用如下URl:http://localhost:8080/HttpDemo/Servlet2;jsessionid=E3662A7541B9A687ABA18CC826B3D226,由如下解决方案解决。
解决方案:首先需要运行request.getSession(),再运行response.encodeRedirectURL(Stirng url)或者response.encodeURL(String url),生成的URl就和上面展示的一致,这样就可以取到Session中的值