爲什麼需要cookie和session
在Web發展史中,我們知道瀏覽器與服務器間採用的是 http
協議,而這種協議是無狀態的,所以這就導致了服務器無法知道是誰在瀏覽網頁,但很明顯,一些網頁需要知道用戶的狀態,例如登陸,購物車等。
所以爲了解決這一問題,先後出現了四種技術,分別是隱藏表單域,URL重寫,cookie,session,而用的最多也是比較重要的就是cookie和session了。
Cookie
Cookie是什麼
cookie
是瀏覽器保存在用戶電腦上的一小段文本,通俗的來講就是當一個用戶通過 http
訪問到服務器時,服務器會將一些 Key/Value
鍵值對返回給客戶端瀏覽器,並給這些數據加上一些限制條件,在條件符合時這個用戶下次訪問這個服務器時,數據通過請求頭又被完整地給帶回服務器,服務器根據這些信息來判斷不同的用戶。
也就是說,
cookie
是服務器傳給客戶端並保存在客戶端的一段信息,這個Cookie
是有大小,數量限制的!!
Cookie的創建
當前 Cookie
有兩個版本,分別對應兩種設置響應頭:“Set-Cookie”
和 “Set-Cookie2”
。在Servlet中並不支持Set-Cookie2,所以我們來看看Set-Cookie的屬性項:
這些屬性項,其他的都說的很清楚了,我們來看看Domain有什麼用:
現在,我們假設這裏有兩個域名:
域名A:a.b.f.com.cn 域名B:c.d.f.com.cn
顯然,域名A和域名B都是 f.com.cn
的子域名
如果我們在域名A中的Cookie的domain設置爲f.com.cn,那麼f.com.cn及其子域名都可以獲取這個Cookie,即域名A和域名B都可以獲取這個Cookie
如果域名A和域名B同時設置Cookie的doamin爲f.com.cn,那麼將出現覆蓋的現象
如果域名A沒有顯式設置Cookie的domain方法,那麼domain就爲a.b.f.com.cn,不一樣的是,這時,域名A的子域名將無法獲取這個Cookie
好的,現在瞭解完了Set-Cookie的屬性項,開始創建Cookie
Web服務器通過發送一個稱爲Set-Cookie的http消息來創建一個Cookie:
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
這裏我們思考一個問題,當我們在服務器創建多個Cookie時,這些Cookie最終是在一個Header項中還是以獨立的Header存在的呢?
我們可以看到,構建http返回字節流時是將Header中所有的項順序寫出,而沒有進行任何修改。所以可以想象在瀏覽器在接收http返回的數據時是分別解析每一個Header項。
接着,在客戶端進行保存,如何保存呢?這裏又要對Cookie進行進一步的瞭解
Cookie的分類
會話級別Cookie:所謂會話級別Cookie,就是在瀏覽器關閉之後Cookie就會失效。
持久級別Cookie:保存在硬盤的Cookie,只要設置了過期時間就是硬盤級別Cookie。
好的,現在cookie保存在了客戶端,當我們去請求一個URL時,瀏覽器會根據這個URL路徑將符合條件的Cookie放在請求頭中傳給服務器。
Session
Cookie是有大小限制和數量限制的,並且越來越多的Cookie代表客戶端和服務器的傳輸量增加,可不可以每次傳的時候不傳所有cookie值,而只傳一個唯一ID,通過這個ID直接在服務器查找用戶信息呢?答案是有的,這就是我們的session。
Session是基於Cookie來工作的,同一個客戶端每次訪問服務器時,只要當瀏覽器在第一次訪問服務器時,服務器設置一個id並保存一些信息(例如登陸就保存用戶信息,視具體情況),並把這個id通過Cookie存到客戶端,客戶端每次和服務器交互時只傳這個id,就可以實現維持瀏覽器和服務器的狀態,而這個ID通常是NAME爲JSESSIONID的一個Cookie。
實際上,有四種方式讓Session正常工作:
通過URL傳遞SessionID
通過Cookie傳遞SessionID
通過SSL傳遞SessionID
通過隱藏表單傳遞SessionID
第一種情況:
當瀏覽器不支持Cookie功能時,瀏覽器會將用戶的SessionCookieName(默認爲JSESSIONID)重寫到用戶請求的URL參數中。格式:/path/Servlet;name=value;name2=value2?Name3=value3
第三種情況:
會根據javax.servlet.request.ssl_session屬性值設置SessionID。
注:如果客戶端支持Cookie,又通過URL重寫,Tomcat仍然會解析Cookie中的SessionID並覆蓋URL中的SessionID
session工作原理
先看session工作的時序圖
一、創建session
當客戶端訪問到服務器,服務器會爲這個客戶端通過request.getSession()方法創建一個Session,如果當前SessionID還沒有對應的HttpSession對象,就創建一個新的,並添加到org.apache.catalina.Manager的sessions容器中保存,這就做到了對狀態的保持。當然,這個SessionID是唯一的
二、session保存
由圖可知,session對象已經保存在了Manager類中,StandardManager作爲實現類,通過requestedSessionId從StandardManager的sessions集合中取出StandardSession對象。
我們來看看StandardManager時如何對所有StandardSession對象進行生命週期管理
當Servlet容器關閉:
StandardManager將持久化沒過期的StandardSession對象(必須調用Servlet容器中的stop和start命令,不能直接kill)
當Servlet容器重啓時:
StandardManager初始化會重讀這個文件,解析出所有session對象。
三、session的銷燬
這裏有一個誤區,也是我之前的錯誤理解,就是我將session的生命週期理解成一次會話,瀏覽器打開就創建,瀏覽器關閉就銷燬,這樣理解是錯的!!
session的聲明週期是從創建到超時過期
也就是說,當session創建後,瀏覽器關閉,會話級別的Cookie被銷燬,如果沒有超過設定時間,該SessionID對應的session是沒有被銷燬的,
檢查session失效
檢查每個Session是否失效是在Tomcat的一個後臺線程完成的(backgroundProcess()方法中);除了後臺進程檢驗session是否失效外,調用request.getSession()也會檢查該session是否過期,當然,調用這種方法如果過期的話又會重新創建一個新的session。
小 結
二者的異同
相同點(有關係的地方):
Session和Cookie都是爲了讓http協議又狀態而存在
Session通過Cookie工作,Cookie傳輸的SessionID讓Session知道這個客戶端到底是誰
不同點:
Session將信息保存到服務器,Cookie將信息保存在客戶端
工作流程
當瀏覽器第一次訪問服務器時,服務器創建Session並將SessionID通過Cookie帶給瀏覽器保存在客戶端,同時服務器根據業務邏輯保存相應的客戶端信息保存在session中;客戶端再訪問時上傳Cookie,服務器得到Cookie後獲取裏面的SessionID,來維持狀態。
作者:PatrickLee666
鏈接:https://juejin.im/post/5b7c1f4d6fb9a019f221ca14
▼
原創系列推薦
▼
5. Webpack4 入門(上)|| Webpack4 入門(下)
6. MobX 入門(上) || MobX 入門(下)
7. 59篇原創系列彙總
回覆“加羣”與大佬們一起交流學習~
點這,與大家一起分享本文吧~