什么是会话?
web语言中的会话
web会话可简单理解为:用户开一个浏览器,访问某一个web站点,在这个站点点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。
由于HTTP是一种无状态协议,每当用户发出请求时,服务器就会做出响应,但是一个请求结束时 , 服务器就会忘掉这个会话 , 当用户在同一网站的多个页面之间转换时,根本无法确定是否是同一个客户
如现在要写一个邮箱管理系统,当登录→跳转页面之后,此时不知道是哪个账户登录了
解决方案:
1. 使用参数的传递机制,在每一个请求之间使用参数来传递需要共享的数据.
LoginServlet.java:
out.print("<a href='/param/list?username="+username+"'>收件箱</a>");
ListServlet.java:
out.print("<a href='/param/get?username="+username+"'>一封邮件</a><br/>");
GetServlet.java:
out.println("欢迎:" + username + "<br/>");
这种方法可以解决问题
但是因为数据在请求行中
请求需要共享的数据会全部暴露在浏览器的地址栏中,不安全.
所以应该把共享数据存放到请求头中,此时就不会在浏览器地址栏出现了→cookie
2. cookie
cookie是客户端技术,程序把每个用户的数据以cookie的形式写给用户各自的浏览器,当用户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去访问.
cookie相关方法&属性:
(1) 创建cookie对象
/**
* @param name<String>当前该Cookie取的一个唯一的名字
* @param value<String>存储在Cookie中的共享数据,只能是String类型
*/
Cookie cookie = new Cookie(String name,String value);
(2) 把cookie放入响应中,响应给浏览器,value会储存在浏览器中
response.addCookie(cookie);
(3) 获取cookie以及获取cookie中的数据
- cookie存在于请求头中,所以应该用request来获取
Cookie[] cs = req.getCookies(); - 获取当前cookie的key:
String name = cookie对象.getName(); - 获取当前cookie的value:
String value = cookie对象.getValue();
(4) cookie中文的问题
在
cookie中,属性名和属性值都不能使用中文,需要使用编码解码解决问题
String info = "我是XiaoA";
// 编码
String ret = URLEncoder.encode(info,"utf-8");
// 解码
String str = URLEncoder.encode(ret,"utf-8");
(5) 修改Cookie中指定属性名的属性值
例如修改Cookie c1 = new cookie("username","ZhangSan");
- 方式1: 创建一个同名的新的cookie,覆盖
Cookie c2 = new Cookie("username","xiaoA")
response.addCookie(c);
- 方式2:
c1.setValue("XiaoA");
response.addCookie(c2);
(6) cookie的分类(会话cookie和持久化cookie)
- 会话cookie : 关闭浏览器之后 , cookie就销毁了 , 默认缺省
- 持久化cookie : cookie可以保存指定的时间段
设置存活时间:cookie对象.setMaxAge(int seconds)
second==0 : 删除cookie;
second < 0 : 会话cookie;
second > 0 : 存活秒数.
(7) cookie的域
- cookie是在同一主机中指定共享cookie,如果主机不同就一定不能共享cookie
- 如果希望不同的二级域名可以共享cookie(例如
music.baidu.com,tieba.baidu.com共享一个session),那么就要设置path和domain了.
①设置cookie的path为"/"cookie.setPath("/"),这样在整个xx.baidu.com中都能传递
②设置cookie的domaincookie.setDomain(".baidu.com"),此时没有指定domain前缀,在music.baidu.com中保存了cookie,在tieba.baidu.com中获取cookie.(当然这需要配置两个虚拟主机才行,二级域名配置虚拟主机即可.) -
servlet1("/cookie/login"),servlet2("/else/123")
此时servlet1不会发送请求给servlet2的,路径不同,只会把cookie传给以/cookie打头的资源.
cookie的缺陷:
(1) 前端可以直接查看浏览器的cookie,不安全
(2) cookie存储中文麻烦
(3) cookie的value是String类型,一个Cookie只能存储一个数据,如果要存储n个数据就要n个cookie
(4) 站点对cookie有限制 : ①cookie大小限制在4KB之内 ②一台服务器在一个客户端最多保存20个cookie ③一个浏览器最多可以保存300个cookie
(5) 设计不太符合现实 : 不能单单把cookie作为两端交互的凭证 , 在生活中 , 是把识别数据的实现放在服务端
→session
3. session
session是服务端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个独享的session对象,由于session为用户浏览器独享,所以在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问服务器中的其他资源时,其他web资源再从用户各自的session中取出数据为用户服务.
cookie相关方法&属性:
(1) 创建和获取session对象
-
HttpSession session = request.getSession(true);
如果当前请求中存在一个session对象,就直接返回,如果不存在session对象,就先创建一个再返回. -
HttpSession session = request.getSession(false);
如果当前请求中存在一个session对象,就直接返回,如果不存在session对象,就返回null. -
HttpSession session = request.getSession();等价于HttpSession session = request.getSession(true);
(2) session存储数据
session对象.setAttribute(String name,Object value);
(3) session取数据
Object value = session对象.getAttribute(String key);
(4) 删除session(用户注销登录)
- 删除session中指定属性名的值
session对象.removeAttribute("username"); - 销毁session对象
session对象.invalidate();
(5)session超时管理
在超时时间内,如果客户端和服务器没有交互(用户两次操作之间不超过该时间),则自动销毁session
session对象.setMaxInterval(60*10);//10分钟超时
tomcat服务器默认超时时间为30分钟,不过一般20多分钟就销毁了
(6) url重写
session是一种特殊的cookie,而浏览器可以禁用cookie.这样cookie和session都会失效.
解决办法 : 此时,需要在每一个资源之后,携带session的ID
这里提供了一个方法可以不手动去拼接';jsessionid='
使用response.encodeURL("/session/abc")即可,会自动在资源后拼接';jsessionid='
一般情况不这样做 , 一般会检查cookie是否打开 , 并提醒用户打开
session注意点
(1) 一般的,存储到session中的属性名称要唯一,我们习惯XXX_IN_SESSION:session对象.setAttribute("USER_IN _SESSION","XiaoA")
(2) value是Object类型,如果需要把多个数据存在session中,一般的,我们把数据封装成一个对象,然后存储到session中
(3) 如果多台服务器之间需要共享session,此时session中的对象,必须实现java.io.serializable才能在网络上传输
- 序列化 : 把对象信息存储为二进制
- 反序列化 : 把二进制信息恢复成对象
public class User implement java.io.serializable{......}
应用:
(1) 单点登录
(2) 购物车
(3) 记录登录时间
(4) 永久登录
