Web基礎瞭解版09-Cookie-Session

Cookie

Cookie

 是一種服務器發送給瀏覽器以鍵值對形式存儲小量信息的技術。

當瀏覽器首次請求服務器時，服務器會將一條信息封裝成一個Cookie發送給瀏覽器，瀏覽器收到Cookie，會將它保存在內存中（注意這裏的內存是本機內存，而不是服務器內存）或者本地文件，那之後每次向服務器發送請求，瀏覽器都會攜帶該Cookie，服務器就可以根據Cookie的信息來處理業務。 

Cookie的缺點

• Cookie因爲請求或響應是以報文發送，無形中增加了網絡流量。

• Cookie是明文傳送的安全性差。

• 各個瀏覽器對Cookie有限制，使用上有侷限。 

Cookie的創建

1. 在Servlet中創建Cookie對象，並添加到Response中。

2. 然後打開瀏覽器訪問Servlet程序，服務器將Cookie信息發送給瀏覽器。

3. 瀏覽器收到Cookie後會自動保存，然後我們可以在下次瀏覽器發送請求時讀取Cookie信息。

Cookie cookie = new Cookie("cookie-name", "cookie-Value");
response.addCookie(cookie);

Cookie的讀取

讀取Cookie主要指讀取瀏覽器中攜帶的Cookie。

1. 服務器端獲取瀏覽器傳過來的Cookie代碼：request.getCookies()

2. 遍歷Cookie數組，獲取所有Cookie信息

Cookie值的修改

// 創建一個已存在key的Cookie對象
Cookie cookie = new Cookie("cookie-name", null);
// 修改Cookie的值
cookie.setValue("this is new value");
// 通知瀏覽器保存修改，記得再次add
response.addCookie(cookie);

Cookie的有效時間

Cookie的實例方法setMaxAge( ) 控制Cookie存活的時間，接收一個int型參數，單位：秒。

• 參數設置爲0，即：setMaxAge(0)：立即失效，表示瀏覽器一收到響應後，就馬上刪除Cookie

• 參數設置大於0：比如setMaxAge(60)，表示有效的秒數60秒後，Cookie失效。

• 參數設置小於0：比如setMaxAge(-1)，表示當前會話有效。也就是關閉瀏覽器後Cookie失效，被刪除。

• 如果不設置失效時間，默認爲當前會話有效，一旦關閉瀏覽器，Cookie就失效，被刪除。

Cookie的路徑設置

Cookie的路徑是指告訴瀏覽器訪問哪些地址時應該攜帶該Cookie，也就是未設置的路徑不需要攜帶

我們通過調用Cookie的實例方法setPath()來設置，這個路徑由瀏覽器來解析。

• / ：代表服務器的根目錄

• 如果設置有效路徑爲：/day14/abc，則：下面幾個路徑能訪問到Cookie

  • /day14/abc 能獲取Cookie

  • /day14/xxx.xxx 不能獲取Cookie

  • /day14/abc/xxx.xxx 能獲取Cookie

  • /day14/abc/a/b/c 能獲取Cookie

• 如果不設置，默認會在訪問“/項目名”下的資源時攜帶

  • 如：“/項目名/index.jsp” 、 “/項目名/hello/index.jsp”

Cookie cookie = new Cookie("cookie-path", "test");
// 設置Cookie的有效訪問路徑爲/day14/abc/下所有資源
cookie.setPath(request.getContextPath() + "/abc");
// 通知瀏覽器保存修改
response.addCookie(cookie);

Session

由於Cookie有一很大的侷限，於是Session出現了

Session的作用就是在服務器端保存一些用戶的數據，然後傳遞給用戶一個名字爲JSESSIONID的Cookie，所以本質上它也是一個Cookie，這個JESSIONID對應這個服務器中的一個Session對象，通過它就可以獲取到保存用戶信息的Session。

Session是什麼

• 首先Session是jsp中九大內置對象之一

• 其次Session是一個域對象

• 然後Session是在服務器端用來保存用戶數據的一種技術。並且Session會話技術是基於Cookie實現的。

Session的創建和獲取

• Session的創建時機是在request.getSession()方法第一次被調用時。

  • 補充：request.getSession()之後的調用都是獲取已經創建了的Session對象，單例模式

• Session被創建後，同時還會有一個名爲JSESSIONID的Cookie被創建。

• 這個Cookie的默認時效就是當前會話。

Session的工作原理

• Session被創建後，對應的Cookie被保存到瀏覽器中，之後瀏覽器每次訪問項目時都會攜帶該Cookie。

• 當我們再次調用時會根據該JSESSIONID獲取已經存在的Cookie，而不是再創建一個新的Cookie。

• 如果Cookie中有JSESSIONID，但是JSESSIONID沒有對應的Session存在，則會重新創建一個HttpSession對象，並重新設置JSESSIONID。

Session數據的存取

• setAttribute 設置屬性

• getAttribute 獲取屬性

Session的作用域是當前會話，即對應的一個瀏覽器客戶端，一個瀏覽器一個session對象非一個網頁

Session 的有效時間

Session對象在服務器端不能長期保存，它是有時間限制的，超過一定時間沒有被訪問過的Session對象就應該釋放掉，以節約內存。Session的計時是從最後一次被訪問開始計時，統計其“空閒”的時間。

說明：Session對象默認的最長有效時間爲30分鐘。在tomcat的conf目錄下web.xml配置文件中

設置

我們在web.xml文件中配置的Session會話超時時間是對所有Session都生效的。

setMaxInactiveInterval (int seconds) 設置用戶多長時間沒有操作之後就會Session過期。以秒爲單位。

• 如果是正數。表示用戶在給定的時間內沒有任意操作，Session會話就會過期。
• 如果是非正數（零&負數）。表示Session永不過期。

int getMaxInactiveInterval()  獲取超時時間。以秒爲單位。

invalidate()　　強制失效

Session的活化和鈍化

• Session鈍化：Session在一段時間內沒有被使用或關閉服務器時，會將當前存在的Session對象及Session對象中的數據序列化到磁盤的過程，稱之爲鈍化。

• Session活化：Session被鈍化後，服務器再次調用Session對象或重啓服務器時，將Session對象及Session對象中的數據從磁盤反序列化到內存的過程，稱之爲活化。

如果希望Session作用域中的對象也能夠隨Session鈍化過程一起序列化到磁盤上，則對象的實現類也必須實現java.io.Serializable接口。不僅如此，如果對象中還包含其他對象的引用，則被關聯的對象也必須支持序列化，

Session對象的釋放

• Session對象空閒時間達到了目標設置的最大值，自動釋放

• Session對象被強制失效

• Web應用卸載

• 服務器進程停止

URL重寫

當Cookie在瀏覽器端可能會被禁用時，我們就可以使用URL重寫。

• URL重寫其實就是將JSESSIONID的值以固定格式附着在URL地址後面，以實現保持JSESSIONID，進而保持會話狀態。這個固定格式是：URL;jsessionid=xxxxxxxxx

實現方式

• response.encodeURL(String)

• response.encodeRedirectURL(String)

//1.獲取Session對象
HttpSession session = request.getSession();
//2.創建目標URL地址字符串
String url = "targetServlet";        
//3.在目標URL地址字符串後面附加JSESSIONID的值
url = response.encodeURL(url+";jsessionid=97120112D5538009334F1C6DEADB1BE7");        
//4.重定向到目標資源
response.sendRedirect(url);