会话跟踪技术

1.      什么是会话 
客户端打开与服务器的连接发出请求到服务器响应客户端请求的全过程称之为会话 


2.      什么是会话跟踪 

对同一个用户对服务器的连续的请求和接受响应的监视 。

会话(Session)跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。常用的会话跟踪技术CookieSessionCookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。

理论是,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。要跟踪该会话,必须引入一种机制。CookieSession就是这样的一种机制




3.      为什么需要会话跟踪 
浏览器与服务器之间的通信是通过HTTP协议进行通信的,而HTTP协议是”无状态”的协议,它不能保存客户的信息,即一次响应完成之后连接就断开了,下一次的请求需要重新连接,这样就需要判断是否是同一个用户,所以才应会话跟踪技术来实现这种要求 


4.      介绍 
当服务器响应客户端的第一次请求时,将会创建一个新的session对象(该对象实现了HttpSession接口)和一个唯一的ID分配给该请求,以后客户将此会话ID与请求一起传给服务器,此会话ID在后续的请求中会将用户与session对象进行匹配,用于识别不同的客户。 


5.      会话跟踪常用的方法: 

a)        URL重写: URL(统一资源定位符)是Web上特定页面的地址,URL重写的技术就是在URL结尾添加一个附加数据以标识该会话,把会话ID通过URL的信息传递过去,以便在服务器端进行识别不同的用户 


b)        隐藏表单域: 将会话ID添加到HTML表单元素中提交到服务器,此表单元素并不在客户端显示 


c)        Cookie: Cookie是Web服务器发送给客户端的一小段信息,客户端请求时可以读取该信息发送到服务器端,进而进行用户的识别。对于客户端的每次请求,服务器都会将Cookie发送到客户端,在客户端可以进行保存,以便下次使用。 
客户端可以采用两种方式来保存这个Cookie对象,一种方式是 保存在 客户端内存中,称为临时Cookie,浏览器关闭后 这个Cookie对象将消失。另外一种方式是保存在 客户机的磁盘上,称为永久Cookie。以后客户端只要访问该网站,就会将这个Cookie再次发送到服务器上,前提是 这个Cookie在有效期内。 这样就实现了对客户的跟踪。 
Cookie是可以被禁止的。 

1. Cookie

1.1 Cookie定义

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再次请求该网站时,浏览器会把请求的网址连同Cookie一同提交给服务器,服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

查看某个网站颁发的Cookie很简单。在浏览器中访问该网站相应的页面后,在浏览器地址栏中输入javascript:alert(document.cookie)JavaScript脚本会弹出一个对话框显示本网站颁发的所有Cookie的内容。

注意Cookie功能需要浏览器的支持。如果浏览器不支持Cookie或者把Cookie禁用了,Cookie功能就会失效。不同的浏览器采用不同的方式保存Cookie

1.2 CookieJava EE中的基本使用

Java中把Cookie封装成了java.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookies()获取客户端提交的所有Cookie(以Cookie[]数组形式返回),通过response.addCookie(Cookiecookie)向客户端设置Cookie

Cookie对象使用key-value属性对的形式保存用户状态,一个Cookie对象保存一个属性对,一个request或者response同时使用多个Cookie

1.2.1 在服务器端获取Cookie

      Cookie[]cookies = request.getCookies();

 

for (int i = 0; cookies != null && i < cookies.length;i++) {

         Cookiecookie = cookies[i];

 

         if("username".equals(cookie.getName())) {

 

         }

      }

1.2.2 在服务器端设置Cookie

      Stringusername = "sa";

      CookieusernameCookie = new Cookie("username", username);

     

      response.addCookie(usernameCookie);

1.3 Cookie的不可跨域名性

Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带GoogleCookie,而不会携带BaiduCookieGoogle也只能操作GoogleCookie,而不能操作BaiduCookie

Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作GoogleCookie而不会操作BaiduCookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是根据域名。GoogleBaidu的域名不一样,因此Google不能操作BaiduCookie

1.4 Unicode编码

Cookie中使用Unicode字符时需要对Unicode字符进行编码,否则会出现乱码。编码可以使用java.net.URLEncode类的encode(Stringstr,String encoding)方法,解码使用java.net.URLaDecoder类的decode(String str,String encoding)方法。

编码示例:

      Cookiecookie = new Cookie("username", URLEncoder.encode("小美", "UTF-8"));

 

      response.addCookie(cookie);

解码示例:

      Cookie[]cookies = request.getCookies();

      for(int i = 0; cookies != null && i < cookies.length; i++) {

         Cookiec = cookies[i];

 

         if("username".equals(c.getName())) {

             Stringusername = URLDecoder.decode(c.getValue(), "UTF-8");

 

         }

      }

1.5 设置Cookie的所有属性

String name

Cookie的名称。Cookie一旦创建,名称便不可更改。

Object value

Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。

int maxAge

Cookie失效的时间,单位为秒。如果为正数,则该CookiemaxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为-1

boolean secure

Cookie是否被使用安全协议传输。安全协议有HTTPSSSL等,在网络上传输数据之前先将数据加密,默认为false。该属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密。

String path

Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath”/sessionWeb”的程序可以访问该Cookie。如果设置为“/”则本域名下contextPath都可以访问该Cookie。注意第一个字符必须为“/”。

String domain

可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。

String comment

Cookie的说明。浏览器显示Cookie信息的时候显示该说明。

int version

Cookie使用的版本号。0表示遵循NetscapeCookie规范,1表示遵循W3CRFC 2019规范。

1.5.1 Cookie的有效期

CookiemaxAge决定着Cookie的有效期,单位为秒(Second)。Cookie中通过getMaxAge()方法与setMaxAge(intmaxAge)方法来读写maxAge属性。

如果maxAge属性为正数,则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化,即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑,只要还在maxAge秒之前,登录网站时该Cookie仍然有效。

下面代码中的Cookie信息将永久有效。

      Cookiecookie = new Cookie("username", URLEncoder.encode("小美", "UTF-8"));

      cookie.setMaxAge(Integer.MAX_VALUE);

 

      response.addCookie(cookie);

如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。maxAge为负数的Cookie,为临时性Cookie,不会被持久化,不会被写入到Cookie文件中。Cookie信息保存在浏览器内存中,因此关闭浏览器该Cookie就消失了。

Cookie默认的maxAge值为-1

如果maxAge0,则表示删除该CookieCookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除。

response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie)。要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie,达到修改的目的。删除时只需要把maxAge修改为0即可。

1.5.2 Cookie的修改、删除

Cookie并不提供修改、删除操作。如果要修改某个Cookie,只需要新建一个同名的Cookie,并添加到response中覆盖原来的Cookie

如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0,并添加到response中覆盖原来的Cookie

1.6 永久登录

如果用户是在自己家的电脑上上网,登录时就可以记住他的登录信息,下次访问时不需要再次登录,直接访问即可。实现方法是把登录信息如账号、密码等保存在Cookie中,并控制Cookie的有效期,下次访问时再验证Cookie中的登录信息即可。

保存登录信息有多种方案。最直接的是把用户名与密码都保持到Cookie中,下次访问时检查Cookie中的用户名与密码,与数据库比较。这是一种比较危险的选择,一般不把密码等重要信息保存到Cookie中。

还有一种方案是把密码加密后保存到Cookie中,下次访问时解密并与数据库比较。这种方案略微安全一些。如果不希望保存密码,还可以把登录的时间戳保存到Cookie与数据库中,到时只验证用户名与登录时间戳就可以了。

这几种方案验证账号时都要查询数据库。有一种方案,只在登录时查询一次数据库,以后访问验证登录信息时不再查询数据库。实现方式是把账号按照一定的规则加密后,连同账号一块保存到Cookie中。下次访问时只需要判断账号的加密规则是否正确即可。


d)       session:  
每一个用户都有一个不同的session,各个用户之间是不能共享的,是每个用户所独享的,在session中可以存放信息。 
在服务器端会创建一个session对象,产生一个sessionID来标识这个session对象,然后将这个sessionID放入到Cookie中发送到客户端,下一次访问时,sessionID会发送到服务器,在服务器端进行识别不同的用户 
Session是依赖Cookie的,如果Cookie被禁用,那么session也将失效 


创建Session对象 
HttpSession session=request.getSession(); 

HttpSession session=request.getSession(true); 

上面二种创建session的方法效果是一样的。首先获取传递进来的在Cookie中存放的sessionID,再根据sessionID查找session对象,如果没有找到将创建一个新的session对象,并保存到Cookie中发送到客户端。如果找到了,就将session对象赋予给引用 


HttpSession session=request.getSession(false); 

这种方式创建过程: 首先获取传递进来的在Cookie中存放的sessionID,再根据sessionID查找session对象,如果没有找到将返回null,如果找到了,就将session对象赋予给引用 


2. Session

Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。

2.1 Session定义

Session是另一种记录客户端状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查询该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。

2.2 SessionJava EE中的基本使用

Session对应的类为javax.servlet.http.HttpSession类。每个来访者都对应一个Session对象,所有该客户的状态信息都保存中这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对,通过getAttribute(String key)setAttribute(String key,Object value)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Sessionrequest还可以使用getSession(boolean create)来获取Session。区别是如果该客户的Session不存在,request.getSession()方法会返回null,而getSession(true)会先创建Session再将Session返回。

Servlet中必须使用request来编程式获取HttpSession对象,而JSP中内置了Session对象,可以直接使用。如果使用声明了<%@ page session=”false” %>,则Session对象不可用。

2.2.1 在服务器端获取Session

      HttpSessionsession = request.getSession();

     

      Stringusername = (String)session.getAttribute("username");

2.2.2 在服务器端设置Session

      HttpSessionsession = request.getSession();

     

      session.setAttribute("username","sa");

2.3 Session的生命周期

Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。

Session在用户第一次访问服务器的时候自动创建。需要注意的是,只有访问JSPServlet等程序时才会创建Session,只访问HTMLIMAGE等静态资源并不会创建Session。如果尚未生成Session,也可以使用request.getSession(true)强制生成Session

Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。

2.4 Session的有效期

由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。

Session的超时时间为maxInactiveInternal属性,可以通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(long interval)修改。

Session的超时时间也可以在web.xml中修改。另外,通过调用Sessioninvalidate()方法可以使Session失效。

2.5 Session对浏览器的要求

虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONIDCookie,它的值为该SessionidHttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。

Cookie为服务器自动生成的,它的maxAge属性一般为-1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie。因此会共享一个Session

注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session

如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?Java Web提供了一种解决方案:URL地址重写。

2.6 URL地址重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Sessionid信息重写到URL地址中。服务器能够解析重写后的URL获取Sessionid。这样即便客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写,例如:

<a href=”<%= response.encodeURL(“index.jsp?c=1&wd=Java”)%>”>

Homepage

</a>

该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将Sessionid重写到URL中。重写后的输出可能是这样的:

<a  href=”index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=1&wd=Java”>

  Homepage

</a>

即在文件名的后面,在URL参数的前面添加了字符串“;jsessionid=XXX”。其中XXXSessionid。用户单击这个链接的时候会把Sessionid通过URL提交到服务器上,服务器通过解析URL地址获得Sessionid

如果是页面重定向(Redirection),URL地址重写可以这样写:

response.sendRedirect(response.encodeRedirectURL(“administrator.jsp”));

效果跟response.encodeURL(String url)是一样的:如果客户端支持Cookie,生成原URL地址,如果不支持Cookie,传回重写后的带有jsessionid字符串的地址。

注意TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie,尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。

3. SessionCookie的比较

3.1 从存取方式上比较

Cookie中只能保存ASCII字符串,如果需要存取Unicode字符或者二进制数据,需要进行UTF-8GBK或者BASE64等方式的编码。Cookie中也不能直接存取Java对象,若要存储稍微复杂的信息,使用Cookie是比较困难的。

Session中可以存取任何类型的数据,包括StringIntegerListMap等。Session中也可以直接保存JavaBean及至任何Java对象等,使用起来非常方便,可把Session看做是一个Java容器类。

3.2 从隐私安全上比较

Cookie存储在客户端浏览器中,对客户端是可见的,客户端的一些程序可能会窥探、复制甚至修改Cookie中的内容。而Session存储在服务器上,对客户端是透明的,不存在敏感信息泄露的危险。

如果选用Cookie,比较好的办法是,敏感的信息如账号密码等尽量不要写到Cookie中,最好是将Cookie信息加密,提交到服务器后再进行解密。

3.3 从有效期上比较

要达到长久地记录用户的登录信息的效果,使用Cookie会是比较好的选择。只需要设置CookiemaxAge属性为一个很大很大的数据字或者Integer.MAX_VALUE就可以了。CookiemaxAge属性支持这样的效果。

使用Session理论上也能实现这种效果。只要调用方法setMaxInactiveInterval(Integer.MAX_VALUE)不就可以了么。但是由于Session依赖于名为JSESSIONIDCookie,而Cookie JSESSIONIDmaxAge默认为-1,关闭了浏览器该Session就会失效,因此Session不能实现信息永久有效的效果。使用URL地址重写也不能实现。

而且如果设置Session的超时时间过长,服务器累计的Session就会越多,越容易导致内存溢出。

3.4 从对服务器的负担上比较

Session是保存在服务器端的,每个用户都会产生一个Session。如果并发访问的用户非常多,会产生非常多的Session,消耗大量的内存。

Cookie保存在客户端,不占用服务器资源。如果并发浏览的用户非常多,Cookie昌很好的选择。

3.5 从浏览器支持上的比较

Cookie是需要客户端浏览器支持的。如果客户禁用了Cookie,或者不支持Cookie,则会话跟踪失效。

如果客户端浏览器不支持Cookie,需要使用Session以及URL地址重写。需要注意的是所有的Session程序的URL都要使用response.encodeURL(String URL)或者response.encodeRedirectURL(String URL)进行URL地址重写,否则导致Session会话跟踪失败。

如果客户端支持Cookie,则Cookie既可以设为本浏览器容器以及子窗口内有效(把maxAge设为-1),也可以设为所有浏览器窗口内有效(把maxAge设为某个大于0的整数)。但Session只能在本浏览器窗口以及其子窗口内有效。如果两个浏览器窗口互不相干,它们将使用两个不同的Session

3.6 从跨域名上比较

Cookie支持跨域名访问,例如将domain属性设置为“.helloweenvsfei.com”,则以它为后缀的所有域名均可以访问该Cookie。而Session则不会支持跨域名访问,仅在它所在的域名内有效。


你可能感兴趣的:(Web)