Servlet:
Sun公司制订的一种用来扩展Web服务器功能的组件规范。当浏览器将请求发送给Web服务器(比如:apcahe的web server),Web服务器会向Servlet容器发送请求,Servlet容器负责解析请求数据包。
—> 组件:是符合一定规范,并且实现部分功能的可以单独部署的软件模块。组建必须要部署到容器里面才能运行。
—> 容器:也是符合一定规范,并且提供组件的运行环境的程序。
Tomcat:Tomcat本身是一个Servlet容器,即可以提供Servlet运行环境的一个程序,但是Tomcat还提供了Web服务器所具有的所有功能,所以我们也称Tomcat是一个Web服务器。Tomcat的默认端口是8080。
—> 目录结构:
①bin目录:存放启动和关闭服务器的一些脚本(命令)。
②common目录:共享(部署在该服务器上的所有程序都可以使用)的一些jar包。
③conf目录:存放服务器的一些配置文件。
④webapps目录:部署目录。
⑤work目录:服务器运行时,生成的一些临时文件。
Http:(Hypertext transport protocol)是超文本传输协议。是一种应用层协议,由W3C制定,它定义了浏览器(或者其他客户端)与Web服务器之间通讯的过程及数据格式。
—> 通信步骤:
①:浏览器建立与Web服务器之间的连接(Socket)。
②:浏览器要将请求数据打包(请求数据包),然后发送给Web服务器。
③:Web服务器将处理结果打包(响应数据包),然后发送给浏览器。
④:Web服务器关闭连接。
◆ 特点:一次请求,一次连接。优点:Web服务器可以利用有限的连接个数为尽可能多的客户服务(效率高)。如果浏览器要再发请求,就必须重新建立一个新的连接。
Https:(Hyper Text Transfer Protocol over Secure Socket Layer)是为安全为目标的HTTP通道,即HTTP下加入SSL层。
—> 与HTTP区别:
①:https地协议需要到ca申请证书(https://www.[shuzizhengshu.com/);
②:http的信息是明文传输,https则具有安全性的ssl加密传输协议;
③:两者使用的是完全不同的连接方式,端口也不一样,http是80,https是443;
④:http是无状态的;https是由ssl+http协议构建的可加密传输、身份认证的网络协议。
信任主机:采用https的服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。
—>两种信任主机方式:
1)一般意义上的https,就是服务器有一个证书;
服务器端和客户端之间所有通讯都是加密的;
a. 客户端产生一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程;
b.接下来所有信息都是加密的。第三方即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。
2)少许对客户端有要求的情况下,会要求客户端也必须有一个证书。
这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。(大多数个人银行的专业版是这种做法,具体证书可能是拿U盘(即U盾)作为一个备份的载体。)
ssl协议工作流程:
①:客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接;
②:服务器根据客户的信息确定是否需要生成新的主密钥,如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息;
③:客户根据收到的服务器响应信息,产生一个主密钥,并用服务器的公开密钥加密后传给服务器;
④:服务器恢复该主密钥,并返回给客户一个用主密钥认证的信息,以此让客户认证服务器。
ssl握手过程:
①客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
②服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。
③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
⑦服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于SSL 协议的安全数据通讯的加解密通讯。同时在SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
—> 数据格式:
1)请求数据包:
①请求行:请求方式+请求资源路径+协议描述。
②若干消息头:消息头是一些键值对,一般由W3C定义,有特定的含义。
③实体内容:只有当请求方式为post时,浏览器才会将请求参数添加到实体内容里面,如果请求方式为get,浏览器会将请求参数添加到请求资源路径的后面。
2)响应数据包
①状态行:协议描述+状态码+状态描述。
②若干消息头:服务器也可以发送一些消息头给浏览器
③实体内容:程序处理之后,返回的结果。
3)get/post:
①get请求会将请求参数添加到请求资源路径的后面,因为请求行存放的数据大小有限(也就是地址栏的最长字节数),所以get请求只能提交少量的数据。
②get请求会将请求参数显示在浏览器地址栏,不安全(比如,路由器会记录整个地址)
③ post请求会将请求参数添加到实体内容里面,所以,可以提交大量的数据。
④ post请求不会将请求参数显示在浏览器地址栏,相对安全一些。但是,post请求并不会对请求参数进行加密处理。用HTTPS协议进行加密处理
重定向:服务器发送一个302状态码及一个Location消息头(值是一个地址,称为重定向地址),通知浏览器立即向重定向地址发请求。[ response.sendRedirect(String url) ]
—> 特点:
1)重定向的地址是任意的(前提要存在否则报404)。
2)重定向之后,浏览器地址栏的地址会变成重定向地址。
请求转发:一个Web组件(Servlet/JSP)将未完成的处理通过容器转交给另外一个Web组件继续完成。常见的情况是:一个Servlet将数据处理完毕之后,转交给一个JSP去展现。
—>步骤:
1)绑定数据到request:request里有个HashMap。request.setAttribute(String name,Object obj);
2)获得一个转发器:url:要转发给哪一个Web组件。RequestDispatcher rd=request.getRequsetDispatcher(String url);
3)转发: rd.forward(request,response);//JSP和Servlet会共享相同的请求和响应对象
4)在转发的目的地,可以使用request.getAttribute方法获得绑定的数据,然后进行处理。【注意:转发之前,先清空response对象中缓存的数据;不能调用out.close()或着out.flush只能同时处理一个响应】
—> 特点:
1)转发的目的地只能够是同一个应用内部的某个组件的地址。
2)转发之后,浏览器地址栏的地址不变。
3)转发所涉及的各个Web组件可以共享同一个request对象和response对象
转发和重定向的区别:
1)转发的目的地只能是同一个应用内部某个组件的地址,而重定向的目的地是任意的。
2)转发之后,浏览器地址栏的地址不变,而重定向会变。
3)转发所涉及的各个Web组件可以共享request对象,而重定向不可以。
4)转发是一件事情未做完,而重定向是一件事情已经做完。
Servlet容器资源路径处理
1)Servlet容器会先假设访问的是一个Servlet,会依据应用名(appname)找到应用所在的文件夹,然后找到web.xml文件。
2)匹配<url-pattern>
①精确匹配(完全匹配):“/”、大小写、名字完全一样。
②通配符匹配:使用 “” 来匹配任意长度的字符串,比如:<url-pattern>/</url-pattern>
③后缀匹配:使用“.”开头,后接任意的字符串,比如:<url-pattern>.do</url-pattern>
3)如果都不匹配,则容器认为访问的是一个静态资源文件(比如html文件),然后容器会查找该文件,如果找到则返回,否则会返回404
Servlet处理多种请求
1)使用后缀匹配模式,比如<url-pattern>*.do</url-pattern>
2)分析请求资源路径,然后依据分析的结果分别进行不同的处理,需使用String request.getRequestURI();
Servlet生命周期:四个阶段:
1)实例化:指的是容器调用Servlet的构造器,创建Servlet对象。
—> 时机:
情况1:容器收到请求之后才创建Servlet对象。在默认情况下,容器只会为Servlet创建唯一的一个实例(多线程,有安全问题。每次请求创建一个线程,由线程去调用方法)。
情况2:容器事先(容器启动时)将某些Servlet(需要配置load-on-startup参数)对象创建好。load-on-startup参数值必须是>=0的整数,越小,优先级越高(即先被实例化)。参数加在web.xml配置文件里的某个<servlet>标签里,如<load-on-startup>1</load-on-startup>
2)初始化:指的是容器在创建好Servlet对象之后,会立即调用Servlet对象的init方法。
3)就绪:指是Servlet对象可以接受调用了,容器收到请求之后,会调用Servlet对象的service方法来处理,且可以被执行多次。
4)销毁:销毁指的是Servlet容器在销毁Servlet对象之前,会调用destroy方法,且只会执行一次。
状态管理:将浏览器与Web服务器之间多次交互当作一个整体来看待,并且将多次交互所涉及的数据保存下来。
—> 类型:
1)客户端状态管理技术,即将状态(也就是多次交互所涉及的数据)保存在客户端(浏览器)。
2)服务器端状态管理技术,即将状态保存在Web服务器端。
cookie:
①是一种客户端的状态管理技术。
②当浏览器访问服务器的时候,服务器可以将少量的数据以set-cookie消息头的方式发送给浏览器,浏览器会将这些数据保存下来。当浏览器再次访问服务器时,会将之前保存的这些数据以cookie消息头的方式发送给服务器。
【注意:有几个cookie,就有几个set-cookie消息头。】
1)创建:Cookie c=new Cookie(String name,String value);//name:cookie的名称。value:cookie的值
2)添加Cookie:response.addCookie(c);//调用响应对象的addCookie方法
3)查询Cookie:Cookie[] request.getCookies();//如果没有任何的cookie,则返回null; String cookie.getName();//返回cookie的名称; String cookie.getValue();//返回cookie的值;
4)编码:cookie的值或者名称只允许合法的ASCII码字符串,如果是中文,需要将中文转换成ASCII码字符串。
String URLEncoder.encode(String str,String code);
String URLDecoder.decode(String str,String code);
5)Cookie生存时间:默认情况下,浏览器会将cookie保存在内存里,只要浏览器不关闭,cookie会一直存在。
—> 启动FireFox后,操作系统会为浏览器开辟一块内存空间:
①浏览器(FireFox)访问服务器。
②服务器生成消息头setCookie发回给浏览器。
③浏览器将服务器生成的消息头保存到内存区域。
④当浏览器关闭,系统回收为浏览器分配的内存,cookie也相应消失。
—> 设置生存时间:使用cookie.setMaxAge(int seconds)方法。
①单位是秒。
②当seconds>0时,浏览器会将cookie保存在硬盘上,当cookie保存的时间超过了seconds,则cookie会被浏览器删除。
③当seconds<0时,缺省值(浏览器会将cookie保存在内存里)。
④当seconds=0时,删除cookie。所以Cookie中无删除方法,设置为0即可。而修改,则为覆盖,用相同的name。
6)Cookie路径问题:浏览器在向服务器上的某个地址发请求时,会比较请求地址与cookie的路径是否匹配,只有匹配的cookie才会发送。
①默认路径:值等于创建该cookie的组件的路径,比如:/web06_Cookie/
②匹配规则:只有当访问的地址是cookie的路径或着是其子路径时,浏览器才会将这个cookie进行发送。
7)Cookie限制:
①cookie可以被用户禁止。
②因为cookie保存在浏览器端,所以cookie不安全。对于一些敏感的数据,需要加密处理。
③cookie只能够保存少量的数据(大约是4K左右)。
④cookie的个数也有限制(浏览器只能够保存大约300个左右的cookie,另外对于某个服务器也有cookie个数的限制,大约是20个)。
⑤cookie只能够保存字符串,对象、集合、数组都不能保存。
session(会话):
①是服务器端的状态管理技术。
②当浏览器访问服务器时,服务器会创建一个session对象(该对象有一个唯一的id号,称之为sessionId)。接下来,服务器在默认情况下,会使用set-cookie消息头将这个sessionId发送浏览器,浏览器会将这个sessionId保存下来(内存中,因为指定生存时间)。当浏览器再次访问服务器时,会将sessionId使用cookie消息头发送给服务器,服务器依据这个sessionId就可以找到之前创建的session对象。
③用户与服务器之间的多次交互叫一次会话。
- 创建:
—> 方式一:HttpSession s=request.getSession(boolean flag);//HttpSession是一个接口,返回一个符合要求的对象(工厂)
【注意:当flag=true时:
服务器会先检查请求当中是否有sessionId,如果没有则创建一个session对象。如果有sessionId,则服务器会依据sessionId查找对应的session对象,如果找到了,则返回session对象。根据sessionId找不到,则服务器会创建一个新的session对象。
当flag=false时:服务器会先检查请求当中是否有sessionId,如果没有则返回null。如果有sessionId,则服务器会依据sessionId查找对应的session对象,如果找到了,则返回session对象。根据sessionId找不到,则服务器返回null。】
—> 方式二:HttpSession s=request.getSession();//等价于HttpSession s=request.getSession(true); - 常用方法:
—> String getId():获得sessionId
—> setAttribute(String name,Object obj):绑定一个对象到session对象上
—> getAttribute(String name):获得绑定对象,如果不存在则返回null
—> removeAttribute(String name):解除绑定(request也有) - session超时:
① 服务器会将空闲时间过长的session对象删除。大部分服务器默认的session超时限制是30分钟。
② 修改超时限制:可以修改这个默认的超时限制。setMaxInactiveInterval(int seconds); 或者在web.xml中修改
<session-config> <session-timeout>30</session-timeout> </session-config>
③ 立即删除session:invalidate();//实际是清空session对象的内容,然后可以给其他人继续使用该session对象
用户禁止cookie后,如何继续使用session:
- 如果用户禁止cookie,服务器仍然会将sessionId以cookie的方式发送给浏览器,但是,浏览器不再保存这个cookie(即sessionId)
- 如果想要继续使用session,需要采取其他方式来实现sessionId的跟踪,如可以使用url重写来实现sessionId的跟踪。
url重写:浏览器在访问服务器上的某个地址时,不能够直接写这个组件(Servlet/JSP)的地址,而应该使用服务器生成的包含有sessionId的地址。
① response.encodeURL(String utl);//encodeURL方法用在链接地址、表单提交地址。
② response.encodeRedirectURL(String url);//用于重定向
③ 转发不用考虑!是服务器内部,不是浏览器访问服务器。
session的优缺点:
—> 优点:
1)session比较安全(相对于cookie)因为将所有状态都写在服务器端。
2)session能够保存的数据类型更加丰富(cookie只能保存字符串)。
3)session能够保存的数据大小更大(cookie只能保存大约4K左右的数据),理论上session是没有限制的。
4)session没有被禁止的问题,也就不需要url重写(cookie可以被用户禁止)。
—> 缺点:
1)session会将数据放在服务器端,所以,对服务器的资源的占用比较大,而cookie会将数据保存在浏览器端,对服务器资源的占用没有。
2)session默认情况下,会将sessionId以cookie的方式发送给浏览器,浏览器会将session保存到内存中,如果浏览器关闭,浏览器发请求时就没有sessionId,服务器端的session对象就找不到了。
【注意:可使用 spring session来管理 】
过滤器: Servlet规范当中定义的一种特殊的组件,可以拦截Servlet容器的调用过程并进行相应的处理。某个过滤器只有一个实例,即单例模式。
监听器: Servlet规范当中定义的一种特殊的组件,用来监听容器产生的事件并进行处理。
—> 容器产生的两大类事件:
1)生命周期相关的事件:容器在创建或者销毁Requset对象、Session对象、ServletContext对象(Servlet上下文)时产生的事件。
2)绑定相关的事件:容器调用了 Request 对象、 Session 对象、 ServletContext 的 setAttribute 、 removeAttribute 时产生的事件。
**ServletContext **:容器在启动的时候,会为每一个应用创建唯一的一个符合ServletContext接口要求的对象(Servlet上下文),该对象一直存在,只有非容器关闭时对象被销毁。
—> GenericServlet. getServletContext() ;//通过GenericServlet抽象类获得上下文(其实也是调用了ServletConfig的getServletContext方法)
—> HttpSession. getServletContext();//通过Session获得上下文
—> ServletConfig .getServletContext() ;//通过ServletConfig接口获得上下文
—> FilterConfig .getServletContext() ;//通过过滤器获得上下文
** 作用:
1)绑定数据: setAttribute 、 removeAttribute 、 getAttribute 、 Request 、 Session 、 ServletContext 都提供了绑定数据的相关的三个方法,如果都满足使用的条件,应该优先使用生命周期短的 Request<Session<ServletContext )。
①Request对象上绑定的数据只有同一个请求所涉及的各个Web组件可以共享,例如:一个Servlet将数据绑定到Request,然后转发到一个jsp。请求先交给过滤器来处理,然后调用Servlet。
②Session对象上绑定的数据是用一个会话所涉及的各个Web组件可以共享。
③ServletContext对象绑定的数据是公开的,谁都可以访问,而且随时可访问
2)访问全局的初始化参数:即使用<context-param>配置的初始化参数,调用 String getInitParameter(String paramName) 方法,可以被同一个应用中的所有的Servlet、Filter共享。
3)依据逻辑路径(path)获得实际部署时的物理路径
**C/S架构: Client/Server **
1)两层的C/S架构:
—> 优点:开发效率高;
—> 缺点:
①对数据库而言可移植性差。
②不适合大型应用(服务器提供的连接个数是有限的)。
2)三层的C/S架构:有自定义协议;TCP/IP协议有两个问题:①拆包问题。②粘包问题。
—> 执行过程:用户点击GUI(图形界面),GUI调用通信,通信打包(自定义协议),发送请求给服务器通信,通信拆包(自定义协议),调用业务,业务处理,结果发给通信,通信打包,发送响应给客户端通信,通信拆包,然后更新GUI。
**B/S架构: Browser/Server **
和C/S三层架构相同,只是客户端不用写,服务器不用写,通信也不用写,浏览器里都有,采用http协议,是w3c标准,不需要自定义协议了。
博客地址:JavaWeb之Servlet