java的会话管理:Cookie和Session
1.Cookie机制
Cookie技术是客户端的解决方案,Cookie就是由服务器发给客户端的特殊信息,而这些信息以文本文件的方式存放在客户端,然后客户端每次向服务器发送请求的时候都会带上这些特殊的信息。让我们说得更具体一些:当用户使用浏览器访问一个支持Cookie的网站的时候,用户会提供包括用户名在内的个人信息并且提交至服务器;接着,服务器在向客户端回传相应的超文本的同时也会发回这些个人信息,当然这些信息并不是存放在HTTP响应体(Response Body)中的,而是存放于HTTP响应头(Response Header);当客户端浏览器接收到来自服务器的响应之后,浏览器会将这些信息存放在一个统一的位置,对于Windows操作系统而言,我们可以从: [系统盘]:\Documents and Settings[用户名]\Cookies目录中找到存储的Cookie;自此,客户端再向服务器发送请求的时候,都会把相应的Cookie再次发回至服务器。而这次,Cookie信息则存放在HTTP请求头(Request Header)了。有了Cookie这样的技术实现,服务器在接收到来自客户端浏览器的请求之后,就能够通过分析存放于请求头的Cookie得到客户端特有的信息,从而动态生成与该客户端相对应的内容。通常,我们可以从很多网站的登录界面中看到“请记住我”这样的选项,如果你勾选了它之后再登录,那么在下一次访问该网站的时候就不需要进行重复而繁琐的登录动作了,而这个功能就是通过Cookie实现的。
在程序中,会话跟踪是很重要的事情。理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。例如,用户A在超市购买的任何商品都应该放在A的购物车内,不论是用户A什么时间购买的,这都是属于同一个会话的,不能放入用户B或用户C的购物车内,这不属于同一个会话。
而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话,必须引入一种机制。
Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用Cookie来跟踪会话。
如果你把Cookies看成为http协议的一个扩展的话,理解起来就容易的多了,其实本质上cookies就是http的一个扩展。有两个http头部是专门负责设置以及发送cookie的,它们分别是Set-Cookie以及Cookie。当服务器返回给客户端一个http响应信息时,其中如果包含Set-Cookie这个头部时,意思就是指示客户端建立一个cookie,并且在后续的http请求中自动发送这个cookie到服务器端,直到这个cookie过期。如果cookie的生存时间是整个会话期间的话,那么浏览器会将cookie保存在内存中,浏览器关闭时就会自动清除这个cookie。另外一种情况就是保存在客户端的硬盘中,浏览器关闭的话,该cookie也不会被清除,下次打开浏览器访问对应网站时,这个cookie就会自动再次发送到服务器端
2.Cookie技术
2.1.什么是Cookie
Cookie意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前Cookie已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。
由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。
Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。
2.2 Cookie的不可跨域名性
很多网站都会使用Cookie。例如,Google会向客户端颁发Cookie,Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢?或者Google能不能修改Baidu颁发的Cookie呢?
答案是否定的。Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。
Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie,从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样,因此Google不能操作Baidu的Cookie。
需要注意的是,虽然网站images.google.com与网站www.google.com同属于Google,但是域名不一样,二者同样不能互相操作彼此的Cookie。
注意:用户登录网站www.google.com之后会发现访问images.google.com时登录信息仍然有效,而普通的Cookie是做不到的。这是因为Google做了特殊处理。本章后面也会对Cookie做类似的处理。
2.3 Unicode编码:保存中文
中文与英文字符不同,中文属于Unicode字符,在内存中占4个字符,而英文属于ASCII字符,内存中只占2个字节。Cookie中使用Unicode字符时需要对Unicode字符进行编码,否则会乱码。
提示:Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码,因为浏览器不一定支持,而且JavaScript也不支持GBK编码。
2.4.Cookie技术核心API
Cookie类:用于存储会话数据。常用方法如下:
1.构造Cookie对象
Cookie(java.lang.String name, java.lang.String value)
2.设置cookie
void setPath(java.lang.String uri) :设置cookie的有效访问路径
void setMaxAge(int expiry) : 设置cookie的有效时间
void setValue(java.lang.String newValue) :设置cookie的值
3.发送cookie到浏览器端保存
void response.addCookie(Cookie cookie) : 发送cookie
4.服务器端接收cookie
Cookie[] request.getCookies() : 接收cookie
代码示例:
/**
* 测试Cookie的方法
*/
@WebServlet(name = "CookieDemo")
public class CookieDemo extends HttpServlet {
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//1.创建Cookie对象
/**
* 在cookie保存对象的实现方式:可以采用JSON
* 将该对象转换为一个JSON字符串 需要对转化之后的json字符串实行编码 保存在cookie中当需要该信息的时候
* 可以从cookie中获取这个json字符串(需要解码) 然后 把他重新转换为我们的对象 这样就可已使用了
* 如:URLEncoder.encode(userStr,"utf-8") URLDecoder.decode(cook.getValue(),"utf-8")
*
*/
Cookie cookie = new Cookie("name","eric");
//2.设置Cookie参数
//2.1.设置Cookie的有效路径
cookie.setPath("/hello");//默认就是web项目的地址
//2.2.设置Cookie的有效时间
cookie.setMaxAge(20);//该cookie只存活20秒,从最后不调该cookie开始计算
cookie.setMaxAge(-1);//该cookie保存在浏览器内存中,关闭浏览器则销毁该cookie
cookie.setMaxAge(0);//删除根该cookie同名的cookie
//3.把数据发送到浏览器
response.addCookie(cookie);
//4.服务端接收来自浏览器的cookie
//方法1:
// String name = request.getHeader("cookie");
// System.out.println(name);
//方法2:
Cookie[] cookies = request.getCookies();
//注意:判断null,否则空指针
if(cookies!=null){
//遍历
for(Cookie c:cookies){
String name = c.getName();
String value = c.getValue();
System.out.println(name+"="+value);
}
}else{
System.out.println("没有接收cookie数据");
}
}
}
2.5.Cookie原理
1.服务器创建Cookie对象,把会话数据存储到Cookie对象中
new Cookie("name","value");
2.服务器发送cookie信息到浏览器
response.addCookie(cookie);
其实是隐藏发送了一个set-cookie名称的响应头
3.浏览器得到服务器发送的cookie,然后保存在浏览器端
4.浏览器在下次访问服务器时,会带着cookie信息
包含在http的请求头里
5.服务器接收到浏览器带来的cookie信息
request.getCookies();
2.6.Cookie的细节
1.void setPath(java.lang.String uri):设置Cookie的有效访问路径,有效访问路径指的是Cookie的有效路径保存在哪里,那么浏览器在有效路径下访问服务器的时候就会带着Cookie信息,否则不带Cookie信息,默认是在当前web项目的路径下
2.void setMaxAge(int expiry):设置Cookie的有效时间
expiry可以是正整数,负整数,和零
正整数:表示Cookie数据保存到浏览器缓存所在的硬盘中,数值表示保存的时间
负整数:表示Cookie数据保存到浏览器的内存中,浏览器关闭Cookie就丢失了
零:表示删除同名的Cookie数据
3.Cookie数据类型只能保存非中文字符串类型的。可以保存多个Cookie,但是浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。
2.7.Cookie案例:显示用户上次访问的时间
功能实现逻辑:
将时间保存在Cookie中,每次访问从Cookie里面调用
第一次访问:
1.获取当前时间,显示到浏览器中
2.创建Cookie对象,时间作为cookie值,名为:lastTime
3.把cookie发送到浏览器保存
第N次访问:
1.获取cookie的数据,取出名为lastTime的cookie
2.得到cookie的值(上次访问时间)
3.显示上次访问时间到浏览器中
4.更新名为lastTime的cookie。值设置为当前时间
5.把更新后的cookie发送给浏览器保存
代码实现:
/**
* 案例-用户上次访问的时间
*/
@WebServlet("/last")
public class HistServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
//获取当前时间
SimpleDateFormat format = new SimpleDateFormat("yyyy-MM-dd hh:mm:ss");
String curTime = format.format(new Date());
//取得cookie
Cookie[] cookies = request.getCookies();
String lastTime = null;
//第n次访问
if(cookies!=null){
for (Cookie cookie : cookies) {
if(cookie.getName().equals("lastTime")){
//有lastTime的cookie,已经是第n次访问
lastTime = cookie.getValue();//上次访问的时间
//第n次访问
//1.把上次显示时间显示到浏览器
response.getWriter().write("欢迎回来,你上次访问的时间为:"+lastTime+",当前时间为:"+curTime);
//2.更新cookie
cookie.setValue(curTime);
cookie.setMaxAge(1*30*24*60*60);
//3.把更新后的cookie发送到浏览器
response.addCookie(cookie);
break;
}
}
}
/**
* 第一次访问(没有cookie 或 有cookie,但没有名为lastTime的cookie)
*/
if(cookies==null || lastTime==null){
//1.显示当前时间到浏览器
response.getWriter().write("你是首次访问本网站,当前时间为:"+curTime);
//2.创建Cookie对象
Cookie cookie = new Cookie("lastTime",curTime);
cookie.setMaxAge(1*30*24*60*60);//保存一个月
//3.把cookie发送到浏览器保存
response.addCookie(cookie);
}
}
}
2.8.Cookie案例:查看用户浏览过的商品
逻辑图
这个项目的代码较多,按照功能的不同放在不同的包里面
公司域名的倒写+项目名字+功能名字
cenyu.hist.entity 存放实体对象
cenyu.hist.dao Data Access Object 数据访问对象,主要存放实体对象的一些方法(CRUD-create,read,update,delete)
cenyu.hist.servlet 存放servlet程序
cenyu.hist.ytil 存放工具类
cenyu.hist.test 存放测试类
等等
写的顺序:实体对象-->DAO类-->Servlet程序
代码:暂无
3.Session技术
3.1.什么是Session
Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的数据创建一个其独享的Session对象,由于Session为用户浏览器独享,所以当用户在访问服务器的web资源时,可以把各自的数据放在各自的Session中,当用户再去访问服务器中的其他的web资源的时候,其他的web资源再从用户各自的Session中取出数据为用户服务
3.2.Session的核心技术
Session的类是HttpSession类:用于保存会话数据
1.创建或得到session对象
HttpSession getSession() 直接创建一个Session对象
HttpSession getSession(boolean create) 接收布尔值,设置为true时,在没有找到匹配Session编号的对象时新建一个Sessionu对象。如果设置false,则当找不到匹配的Session时,返回null,建议不要用
2.设置session对象
void setMaxInactiveInterval(int interval) : 设置session的有效时间
java.lang.String getId() : 得到session编号
void invalidate() : 销毁session对象
Session对象的方法:
1.setMaxInactiveInterval方法默认30分钟自动回收Session对象
2.使用setMaxInactiveInterval方法修改销毁时间
3.在web.xml文件中全局修改Session默认回收时间
<!-- 修改session全局有效时间:分钟 -->
<session-config>
<session-timeout>1</session-timeout>
</session-config>
4.通过invalidate方法,手动销毁Session对象
3.保存会话数据到session对象
void setAttribute(java.lang.String name, java.lang.Object value) : 保存数据
java.lang.Object getAttribute(java.lang.String name) : 获取数据
void removeAttribute(java.lang.String name) : 清除数据
4.如何避免浏览器的JSESSIONID的cookie随着浏览器关闭而丢失的问题:
解决方法是手动发送一个硬盘保护的cookie给浏览器
代码见案例:
/**
* 测试Session的方法
*/
@WebServlet(name = "SessionServletDemo")
public class SessionServletDemo extends HttpServlet {
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//1.创建Session对象
HttpSession session = request.getSession();
//2.保存会话数据
session.setAttribute("name","eric");
//3.取出会话数据
String name = (String)session.getAttribute("name");
System.out.println(name);
//4.
//拿到Session的id
System.out.println(session.getId());
//修改Session有效时间
session.setMaxInactiveInterval(20);
//销毁session
if (session!=null){
session.invalidate();
}
//手动发送一个硬盘保存的cookie给浏览器
Cookie c = new Cookie("JSESSION", session.getId());
c.setMaxAge(60*60);
response.addCookie(c);
}
}
3.3.Session原理
代码解读:HttpSession session = request.getSession();
伪码分析执行过程
1.第一次访问创建Session对象,给Session对象分配一个唯一的ID,叫JSESSIONID。
new HttpSession();
2.把JSESSIONID作为Cookie的值发送给浏览器保存
Cookie cookie = new Cookie("JSESSIONID", sessionID);
response.addCookie(cookie);
3.第二次访问的时候,浏览器带着JSESSIONID的cookie访问服务器
4.服务器得到JSESSIONID,在服务器的内存中搜索是否存放对应编号的session对象
5.如果找到对应编号的session对象,直接返回该对象
6.如果找不到对应编号session对象,创建新的session对象,继续走1的流程
结论通过JSESSION的cookie值在服务器找session对象
3.4.Session案例:用户登录效果
需求:实现用户登录效果,如果登录成功显示:欢迎回来,×××。如果失败,显示登录失败
使用Session区分不同的用户来实现,整个代码实现分为三块,登录表单提交之后的处理逻辑,登录逻辑,登出逻辑:
默认登录界面。index.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>登录页面</title>
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="this is my page">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<!--<link rel="stylesheet" type="text/css" href="./styles.css">-->
</head>
<body>
<form action="/day12/LoginServlet" method="post">
用户名:<input type="text" name="userName"/>
<br/>
密码:<input type="text" name="userPwd"/>
<br/>
<input type="submit" value="登录"/>
</form>
</body>
</html>
登录失败页面:fail.html
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>信息提示页面</title>
<meta http-equiv="keywords" content="keyword1,keyword2,keyword3">
<meta http-equiv="description" content="this is my page">
<meta http-equiv="content-type" content="text/html; charset=UTF-8">
<!--<link rel="stylesheet" type="text/css" href="./styles.css">-->
</head>
<body>
<font color='red' size='3'>亲, 你的用户名或密码输入有误!请重新输入!</font><br/>
<a href="/day12/login.html">返回登录页面</a>
</body>
</html>
表单提交之后的主处理逻辑:IndexServlet.java
/**
* 用户主页的逻辑
*
*/
public class IndexServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
String html = "";
/**
* 接收request域对象的数据
*/
/*
String loginName = (String)request.getAttribute("loginName");
*/
/**
* 二、在用户主页,判断session不为空且存在指定的属性才视为登录成功!才能访问资源。
* 从session域中获取会话数据
*/
//1.得到session对象
HttpSession session = request.getSession(false);
if(session==null){
//没有登录成功,跳转到登录页面
response.sendRedirect(request.getContextPath()+"/login.html");
return;
}
//2.取出会话数据
String loginName = (String)session.getAttribute("loginName");
if(loginName==null){
//没有登录成功,跳转到登录页面
response.sendRedirect(request.getContextPath()+"/login.html");
return;
}
html = "<html><body>欢迎回来,"+loginName+",<a href='"+request.getContextPath()+"/LogoutServlet'>安全退出</a></body></html>";
writer.write(html);
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}
登录处理逻辑:LoginServlet.java
/**
* 处理登录的逻辑
*
*/
public class LoginServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
request.setCharacterEncoding("utf-8");
//1.接收参数
String userName = request.getParameter("userName");
String userPwd = request.getParameter("userPwd");
//2.判断逻辑
if("eric".equals(userName)
&& "123456".equals(userPwd)){
//登录成功
/**
* 分析:
* context域对象:不合适,可能会覆盖数据。
* request域对象: 不合适,整个网站必须得使用转发技术来跳转页面
* session域对象:合适。
*/
/*
request.setAttribute("loginName", userName);
//request.getRequestDispatcher("/IndexServlet").forward(request, response);
response.sendRedirect(request.getContextPath()+"/IndexServlet");
*/
/**
* 一、登录成功后,把用户数据保存session对象中
*/
//1.创建session对象
HttpSession session = request.getSession();
//2.把数据保存到session域中
session.setAttribute("loginName", userName);
//3.跳转到用户主页
response.sendRedirect(request.getContextPath()+"/IndexServlet");
}else{
//登录失败
//请求重定向
response.sendRedirect(request.getContextPath()+"/fail.html");
}
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}
退出处理逻辑:LogoutServlet.java
/**
* 退出逻辑
*
*/
public class LogoutServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
/**
* 三、安全退出:
* 删除掉session对象中指定的loginName属性即可!
*/
//1.得到session对象
HttpSession session = request.getSession(false);
if(session!=null){
//2.删除属性
session.removeAttribute("loginName");
}
//2.回来登录页面
response.sendRedirect(request.getContextPath()+"/login.html");
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doGet(request, response);
}
}
