会话跟踪技术

• 什么是会话？
  会话可简单理解为：打开浏览器 -> 访问一些服务器内容 -> 关闭浏览器，整个过程称之为一个会话。
• 会话过程中要解决的问题？
  HTTP 是一种“无状态”协议,每个用户在使用浏览器与服务器进行会话的过程中，不可避免各自会产生一些数据，服务器要想办法为每个用户保存这些数据：
  如：用户登录场景，当不同的用户登录系统后，我们如何在主页面显示不同的用户名？
• 会话跟踪技术是一种在客户端与服务器间保持HTTP状态的解决方案，管理浏览器客户端和服务器端之间会话过程中产生的会话数据。从开发角度考虑，是使上一次请求所传递的数据能够维持状态到下一次请求，并且辨认出是否相同的客户端所发送出来的。
• 会话跟踪技术的解决方案主要分为以下几种：
  Cookie技术
  Session技术
  URL重写技术
  隐藏表单域技术

一、Cookie

• Cookie技术是一种在客户端保持会话跟踪的解决方案，会话数据保存在客户端浏览器。
• Cookie在用户第一次访问服务器时，由服务器通过响应头的方式发送给客户端浏览器；当用户再次向服务器发送请求时会附带上这些文本信息。

• 在使用Cookie时，要保证客户端浏览器接受Cookie。

  
  

• 存储Cookie会话数据

1.构造Cookie对象

• Cookie(java.lang.String name, java.lang.String value);

2.设置cookie

• void setPath(java.lang.String uri)：设置cookie的有效访问路径。
  默认cookie只能由创建它的应用获得，设置cookie.setPath(“/”)，则可在同一应用服务器内的所有应用共享访问。
• void setMaxAge(int expiry) ： 设置cookie的有效时间
  该Cookie失效时间，单位秒。如果为正数，则该Cookie在expiry秒之后失效。如果为负数，该Cookie为临时Cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该Cookie。如果为0，表示删除该Cookie。默认为–1
• void setValue(java.lang.String newValue) ：设置cookie的值
  Cookie的值不能设置成非ASSIC字符，如果要使用中文可以通过URLEncoder将其编码，否则会出异常。
  Cookie大小和数量的限制，不同的浏览器有所区别，一般每个域名最多可存储
  50个cookie，Cookie总的的大小限制为4KB。

3.将Cookie对象响应给客户端浏览器，存储在客户端。

• void response.addCookie(Cookie cookie) : 发送cookie

@WebServlet("/CookieStorageServlet")
public class CookieStorageServlet extends HttpServlet {
  private static final long serialVersionUID = 1L;

  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      Cookie ck1 = new Cookie("name",URLEncoder.encode("张三","UTF-8"));
      Cookie ck2 = new Cookie("jSessionId", "10001");
      Cookie ck3 = new Cookie("email","xx@xx.com");
      Cookie ck4 = new Cookie("status","1");
      ck1.setMaxAge(-1);//默认值
      ck2.setMaxAge(0);//删除cookie
      ck3.setMaxAge(24*60*60);//设置1天后失效
      ck3.setPath("/ch03-cookie/shopping");
      ck4.setMaxAge(10);//10秒后失效
      response.addCookie(ck1);
      response.addCookie(ck2);
      response.addCookie(ck3);
      response.addCookie(ck4);
  }

  protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      doGet(request, response);
  }
}

• 获取Cookie会话数据

存储在客户端的Cookie，通过HttpServletRequest对象的getCookies()方法获取，该方法返回所访问网站的所有Cookie的对象数组，遍历该数组可以获得各个Cookie对象。

@WebServlet("/CookieGetServlet")
public class CookieGetServlet extends HttpServlet {
  private static final long serialVersionUID = 1L;
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      response.setContentType("text/html;charset=UTF-8");
      request.setCharacterEncoding("utf-8");
      PrintWriter out = response.getWriter();
      
      Cookie[] cookies = request.getCookies();
      for(Cookie c:cookies) {
          if("name".equals(c.getName())) {
              out.println("<p>" + URLDecoder.decode(c.getValue(),"UTF-8") + "<p>");
          }else {
              out.println("<p>" + c.getValue() + "<p>");
          }
          out.println("<p>" + c.getName() + "<p>");
          out.println("==========================");
      }
      out.close();
  }

  protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      doGet(request, response);
  }
}

• Cookie的局限性

• Cookie可能被禁用，当用户非常注重个人隐私保护时，很可能会禁用浏览器的Cookie功能；
• Cookie可能被删除，因为每个Cookie都是硬盘上的一个文件，因此很有可能被用户删除；
• Cookie的大小和个数受限，不同浏览器有所区别，Cookie保存的数据不能超过4095个字节，50个/每个域名；
• Cookie安全性不够高，所有的Cookie都是以纯文本的形式记录于文件中，因此如果要保存用户名密码等信息时，最好事先经过加密处理。

二、Session

• Session是指使用HttpSession对象实现会话跟踪的技术，是一种在服务器端保持会话跟踪的解决方案。
• HttpSession对象会在用户第一次访问服务器时由容器创建（注意只有访问JSP、Servlet等程序时才会创建，只访问HTML、IMAGE等静态资源并不会创建），当用户调用其失效方法（invalidate()方法）或超过其最大不活动时间时会失效。在此期间，用户与服务器之间的多次请求都属于同一个会话。
• Session和Cookie的主要区别在于：
  Cookie是把用户的数据写给用户的浏览器。
  Session技术把用户的数据写到用户独占的session中。

• Session工作原理

服务器在创建会话对象时，会为其分配一个唯一的会话标识——SessionId，以“JSESSIONID”的属性名保存在客户端Cookie中，在用户随后的请求中，服务器通过读取Cookie中的JSESSIONID属性值来识别不同的用户，从而实现对每个用户的会话跟踪。

• 获取HttpSession对象

@WebServlet("/CreateSessionServlet")
public class CreateSessionServlet extends HttpServlet {
    private static final long serialVersionUID = 1L;

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        HttpSession session = request.getSession();
        response.setContentType("text/html;charset=utf-8");
        PrintWriter out = response.getWriter();
        //获取HttpSession对象标识sessionid
        out.println("<p>" + session.getId() + "</p>");
        //获取HttpSession对象产生的时间，单位是毫秒
        out.println("<p>" + session.getCreationTime() + "</p>");
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(request, response);
    }

}

• Session存取数据

• 存储会话域属性
  session.setAttribute("username"," neuedu ");
• 会话域中获取属性值
  String uname = (String)session.getAttribute("username");
• 会话域中删除属性
  session.removeAttribute("username");

• 例：当用户当用户登录成功后，将用户信息存储到session中，并重定向到主页面显示用户信息。

<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
    <form action="login" method="post">
        <input type="text" name="userName" placeholder="用户名"/><br/>
        <input type="password" name="password" placeholder="密码"/><br/>
        <input type="submit" value="登录"/>
    </form>
</body>
</html>

@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    private static final long serialVersionUID = 1L;

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取session对象
        HttpSession session = request.getSession();
        //模拟登陆成功
        String userName = request.getParameter("userName");
        //向session中存储用户名
        session.setAttribute("userName",userName);
        response.sendRedirect("index");
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(request, response);
    }

}

@WebServlet("/index")
public class IndexServlet extends HttpServlet {
    private static final long serialVersionUID = 1L;
 
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        response.setContentType("text/html;charset=utf-8");
        PrintWriter out = response.getWriter();
        //获取session对象
        HttpSession session = request.getSession();
        String userName = (String)session.getAttribute("userName");
        //判断是否登录成功:
        if(userName == null || "".equals(userName)) {
            //没有登录成功，跳转到login.html
            response.sendRedirect("login.html");
            return;
        }
        //设置session的非活动时间
        session.setMaxInactiveInterval(10);
        out.println("<p> 欢迎你：" + userName + "<p>");
        out.println("<a href=\"logout\">退出登录</a>");
        out.close();
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(request, response);
    }
}

• Session生命周期

• Session失效时间
  session具有一定声生命周期，如果session超过会话的最大不活动时间，会话自动失效，会话的最大不活动时间指会话超过此时间段不进行任何操作；
• 设置Session的失效时间
  方法1：在工程的web.xml中配置session的生命周期，单位为分钟；
  <session-config> <session-timeout>15</session-timeout> </session-config>
  方法2：在程序硬编码设置
  session.setMaxInactiveInterval(30 * 60);//设置单位为秒，设置为-1永不过期；
  方法3：在Tomcat安装目录下conf/web.xml中配置（Web容器级别）
  <session-config> <session-timeout>15</session-timeout> </session-config>
• 手动销毁Session
  可以通过调用invalidate()方法立即清除会话对象及其所有会话域属性，同时响应客户端浏览器清除Cookie中的JSESSIONID

• 在实际应用中，此方法多用来实现系统的“安全退出”功能。

@WebServlet("/logout")
public class LogoutSerlvet extends HttpServlet {
    private static final long serialVersionUID = 1L;
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        //手动销毁sessoin
        request.getSession().invalidate();
        response.sendRedirect("login.html");
    }

    /**
     * @see HttpServlet#doPost(HttpServletRequest request, HttpServletResponse response)
     */
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(request, response);
    }

}

三、其它会话技术

• URL重写技术

• URL重写技术是实现动态网站会话跟踪的重要保障。在实际应用中，当客户端浏览器禁用Cookie后的session处理，当不能确定客户端浏览器是否支持Cookie的情况下，使用URL重写技术可以对请求的URL地址追加会话标识，从而实现用户的会话跟踪功能。

• 例如，对于如下格式的请求地址：
  http://localhost:8080/Demo/EncodeURLServlet
  经过URL重写后，地址格式变为：
  http://localhost:8080/Demo/EncodeURLServlet;jsessionid=24666BB458B4E0A68068CC49A97FC4A9
  其中：“jsessionid”即为追加的会话标识，服务器即通过它来识别跟踪某个用户的访问。

• URL重写实现方法

@WebServlet("/UrlRewriterServlet")
public class UrlRewriterServlet extends HttpServlet {
  private static final long serialVersionUID = 1L;
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      response.setContentType("text/html;charset=UTF-8");
      PrintWriter out = response.getWriter();
      HttpSession session = request.getSession();
      // 两个请求地址进行URL重写
      String link1 = response.encodeURL("UrlRewriterResultServlet");
      String link2 = response.encodeURL("UrlRedirectServlet");
      // 使用超链接形式对URL重写地址进行请求
      out.println("<p><a href='" + link1 + "'>对一个普通Servlet的请求</a></p>");
      out.println("<p><a href='" + link2 + "'>对一个含有重定向代码的Servlet的请求</a></p>");
  }

  protected void doPost(HttpServletRequest request, HttpServletResponse >response) throws ServletException, IOException {
      doGet(request, response);
  }
}

@WebServlet("/UrlRewriterResultServlet")
public class UrlRewriterResultServlet extends HttpServlet {
  private static final long serialVersionUID = 1L;
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      java.io.PrintWriter out = response.getWriter();
      // 获取经URL重写传递来的会话标识值
      String sessionId = request.getSession().getId();
      out.println(sessionId);
  }

  protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      doGet(request, response);
  }
}

@WebServlet("/UrlRedirectServlet")
public class UrlRedirectServlet extends HttpServlet {
  private static final long serialVersionUID = 1L;
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      String url = response.encodeRedirectURL("UrlRewriterResultServlet");
      response.sendRedirect(url);
  }
  protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
      // TODO Auto-generated method stub
      doGet(request, response);
  }
}

• URL重写技术应用注意事项：
  1.如果应用需要使用URL重写，那么必须对应用的所有请求（包括所有的超链接、表单的action属性值和重定向地址）都进行重写，从而将jsessionid维持下来；
  2.由于浏览器对URL地址长度的限制，特别是在对含有查询参数的GET请求进行URL重写时，需要注意其总长度；
  3.由于静态页面不能进行会话标识的传递，因此所有的URL地址都必须为动态请求地址。

• 隐藏表单域

• 利用Form表单的隐藏表单域，在用户无法从页面显示看到隐藏标识的情况下，将标识随请求一起传送给服务器处理，从而实现会话的跟踪。

• 在Form表单中定义隐藏域
  <input type="hidden" name="userID" value="10010">

• 在服务器端通过HttpServletRequest对象获取隐藏域的值
  String flag = request.getParameter("userID");