JSessionId谈cookie与session的区别和联系

最新推荐文章于 2023-05-11 10:51:26 发布
最新推荐文章于 2023-05-11 10:51:26 发布
阅读量3.6k 收藏
点赞数
分类专栏: Java / Java虚拟机 / javaweb 文章标签: cookie session JsessionID 区别与联系

1:在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:
< % cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
doStuffForNewbie();
//没有访问过 
}

else
{
doStuffForReturnVisitor(); //已经访问过了
}

% >

这是很浅显易懂的道理,检测COOKIE的存在,如果存在说明已经运行过写入COOKIE的代码了,然而运行以上的代码后,无论何时结果都是执行doStuffForReturnVisitor(),通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件,奇怪,代码明明没有问题,不过既然有cookie,那就显示出来看看。
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}

else
{
for (int i = 0; i < cookie.length; i++)
{
out.println("cookie name:" + cookies[i].getName() + "cookie value:" +
cookie[i].getValue());
}
}

运行结果:
cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6 为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的,并不是写到硬盘上的,这也就是我们刚才看到的JSESSIONID,我们通常情是看不到JSESSIONID的,但是当我们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理,我们就可以很容易的分辨出persistent cookies和session cookie的区别了,网上那些关于两者安全性的讨论也就一目了然了,session cookie针对某一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本(通常是加密的),而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击,自然不如sessioncookie安全了。
通常session cookie是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样我们信息共享的目的就达不到了,此时我们可以先把sessionid保存在persistent cookie中,然后在新窗口中读出来,就可以得到上一个窗口SessionID了,这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking(会话跟踪)。
在一些web开发的书中,往往只是简单的把Session和cookie作为两种并列的http传送信息的方式,session cookies位于服务器端,persistent cookie位于客户端,可是session又是以cookie为基础的,明白的两者之间的联系和区别,我们就不难选择合适的技术来开发web service了。

 

2:

 

  我们可以设计一个Servlet,来看一看session到底是怎么工作的。

        在Servlet中,可以设计这样的代码:

 
  1. //打印出sessionid,用来判断session是否新建  
  2. HttpSession session = request.getSession();  
  3. System.out.println("::SESSION ID IS : " + session.getId());  
  4.           
  5. //打印出请求报头中的内容  
  6. Enumeration enu_req_headers = request.getHeaderNames();  
  7. while(enu_req_headers.hasMoreElements()) {  
  8.     String headerName = (String)enu_req_headers.nextElement();  
  9.     if(!headerName.equals("cookie")) {//非Cookie报头  
  10.         System.out.println(headerName);  
  11.     }  
  12.     else {//Cookie报头  
  13.         String content = request.getHeader("cookie");  
  14.         System.out.println("::cookie : " + content);  
  15.     }  
  16. }  
  17.           
  18. //响应中是否含有Set-Cookie,浏览器的下次提交将会受此影响  
  19. boolean containCookie = response.containsHeader("Set-Cookie");  
  20. System.out.println("::If The Response Contain Header:Set-Cookie? : "+containCookie);  
  21.           
  22. //判断此session是否是新创建的  
  23. System.out.println("::If The Session is NEW : " + request.getSession().isNew());  
  24. System.out.println();  


来查看session的工作情况。

1、session是在何种情况下创建的?

        重启服务器,重新打开浏览器(这里就用IE了)。输入地址,得到输出为:

 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  


注意到,在请求报头中,没有cookie的内容。但在response响应中,有Set-Cookie的要求,这将影响到下一次浏览器的请求。

          刷新一下,得到的输出为:

 
 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=42DE852FBD9E23C5CA5E06E883D6F466  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

可以看到,浏览器向服务器提交了cookie,使用的是原来的session。由于这里并没有新建session,因此也没有了Set-Cookie的要求。

          关闭浏览器的接受cookie功能,重启浏览器,并刷新一次页面,可以得到以下输出:

  1. ::SESSION ID IS : 5BF9763193E7E6FAF959B4224ED18977  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::If The Response Contain Header:Set-Cookie? : true  
  19. ::If The Session is NEW : true  

可以看到,每次的请求都会创建一个session,并且每次都会有Set-Cookie的要求。

          我在地址栏的地址后面加上 ;jsessionid=EB216E0FE7FAD5CAF9C6A472F0D72195,再次刷新页面,可以看到这样的输出:

  1. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : false  
  9. ::If The Session is NEW : false  

可以看到,没有新建session,也没有Set-Cookie的要求。这里就是使用URL重写来实现的会话跟踪。但若jsessionid的值在现有session中找不到,servlet容器还是会创建一个新的session。

          现在,将浏览器的接收cookie功能打开,验证最后一个特征。

          先重启一下浏览器,刷新一下,得到的输出如下:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  19. ::If The Response Contain Header:Set-Cookie? : false  
  20. ::If The Session is NEW : false  

现在,重启服务器,但不要关闭浏览器。待服务器重启完毕,再刷新一下页面,可以看到这样的输出:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

怎么还是用的先前那个session?这个session在服务器重启时候就应该没有了啊。

根据以上这些输出,可以得知,在tomcat中,创建session的规律:

1、创建session的时候会附带着创建一个cookie,它的MaxAge为-1,也就是说只能存在于内存中。当浏览器端禁用cookie时,这个cookie依然会被创建。

2、当浏览器提交的请求中有jsessionid参数或cookie报头时,容器不再新建session,而只是找到先前的session进行关联。这里又分为两种情况:
    1)使用jsessionid。该值若能与现有的session对应,就不创建新的session,否则,仍然创建新的session。
    2)使用cookie。该值若能与现有的session对应,也不创建新的session;但若没有session与之对应(就如上面的重启服务器之后)容器会根据cookie信息恢复这个与之对应的session,就好像是以前有过一样。

2、session何时被销毁?
         当我们关闭浏览器,再打开它,连接服务器时,服务器端会分配一个新的session,也就是说会启动一个新的会话。那么原来的session是不是被销毁了呢?
         通过实现一个SessionListener可以发现,当浏览器关闭时,原session并没有被销毁(destory方法没有执行),而是等到timeout到期,才销毁这个session。关闭浏览器只是在客户端的内存中清除了与原会话相关的cookie,再次打开浏览器进行连接时,浏览器无法发送cookie信息,所以服务器会认为是一个新的会话。因此,如果有某些与session关联的资源想在关闭浏览器时就进行清理(如临时文件等),那么应该发送特定的请求到服务器端,而不是等到session的自动清理。
哈哈满
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
session实质就是cookie
09-19
结合实例,并且对我们常用的request.getSession();等语句进行了实质性的内部解剖,看完这个文档百分百让你懂sessioncookie联系。个人觉得我上传的资源都对的起各位访友下载需要的积分。
JSESSIONIDcookieSESSION区别联系【转贴】
billhepeng的专栏
08-19 1370
 1:在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:cookie[]cookies = request.getCookies();if (cookies.lenght == 0 || cookies == null)doStuffForNewbie();//没有访问过 }else
cookiesessionJSESSIONID
qq_44718303的博客
08-24 1768
cookiesession区别cookie存放在客户端,session存放在服务器端 cookie不安全因为可以通过分析存放在本地的cookie session一定时间内保存在服务器上,当访问变多,占用服务器的资源性能,为了减轻资源性能最好使用cookie 单个cookie保存数据是有限的一半不超过4k,很多浏览器都限制一个站点最多保存20个cookie,而session保存在服务器端没有数量的限制,也可以保存更复杂的类型 cookie的生命周期是积累的,而session的生命周期是间隔的 由于H
什么是浏览器 cookies 里的 JSessionID
SAP 资深技术专家 Jerry Wang 的技术分享
05-11 1394
JSessionID的作用是唯一标识用户的会话。当用户首次访问一个Java Web应用程序时,Web服务器会为该用户生成一个唯一的JSessionID,并将其作为Cookies发送给浏览器。JSessionID在用户访问Java Web应用程序时由Web服务器分配,并以Cookies的形式存储在用户的浏览器中。通过在浏览器中存储Cookies,Web服务器可以在用户访问同一网站时识别用户并提供个性化的服务。在Web开发中,JSessionID是一个重要的概念,它与浏览器Cookies密切相关。
Cookie中的JSESSIONID说明
qq_42449963的博客
07-28 3823
事实上当用户访问服务器的时候会为每一个用户开启一个session,浏览器是怎么判断这个session到底是属于哪个用户呢?换句话说服务器识别session的方法是通过jsessionid来告诉服务器该客户端的session在内存的什么地方。注意此cookie由于没有设置cookie有效日期,所以在关闭浏览器的情况下会丢失掉这个cookie。浏览器会根据响应头的set-cookie信息设置浏览器的cookie并保存之。不难发现这个的jsessionid和上面的jsessionid是一样的。......
cookieJsessionid
11-10 2284
1.session的实现方式 做web开发的同学都知道,http是无状态的会话协议,也就是说无法保存用户的信息。那如果有一些信息需要在用户的浏览活动中一直保持,该怎么做呢?我 们可以把这些信息在每次请求的时候作为参数传递给服务器,但这样做既麻烦又耗费资源,这时候就体现出了session的重要性。session是web开 发中不可或缺的一个特性。它是对于一个特定的用户请求,在web服务器上保存的一
java中Cookie被禁用后Session追踪问题
01-01
服务器端获取Session对象依赖于客户端携带的Cookie中的JSESSIONID数据。如果用户把浏览器的隐私级别调到最高,这时浏览器是不会接受Cookie、这样导致永远在服务器端都拿不到的JSESSIONID信息。这样就导致服务器端的...
Session Cookie的HttpOnly和secure属性
10-29
其次,GlassFish2.x支持的是servlet2.5,而servlet2.5不支持Session Cookie的"HttpOnly"属性。不过使用Filter做一定的处理可以简单的实现HttpOnly属性。GlashFish3.0(支持servlet3.0)默认开启Session Cookie的...
解决vue项目axios每次请求session不一致的问题
01-18
1、vue开发后台管理项目,登录后,请求数据每次session都不一致,后台返回未登录,处理方法打开main.js设置: // The Vue build version to load with the `import` command // (runtime-only or standalone) has ...
IFrame中Session丢失的解决办法
06-06
IFrame中Session丢失的解决办法
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly
11-20
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
你管这破玩意儿叫 Token?
weixin_41385912的博客
05-17 696
上周我们在团队内部首次采用了 jwt(Json Web Token) token 这种 no-session 的方式来作用户的账号验证,发现网上很多文章对 token 的介绍有误,所以对 ...
url中的jsessionid解释
sizhefang
09-29 821
(1) 这是一个保险措施 因为Session默认是需要Cookie支持的 但有些客户浏览器是关闭Cookie的 这个时候就需要在URL中指定服务器上的session标识,也就是5F4771183629C9834F8382E23BE13C4C 用一个方法(忘了方法的名字)处理URL串就可以得到这个东西 这个方法会判断你的浏览器是否开启了Cookie,如果他认为应该加他就会加上去 ...
COOKIESESSION及案例
天天学安全专属博客
09-20 900
cookiesession区别,以及cookiesession的案例,包括cookiesession图解教程
前后端分离后产生的跨域问题sessionid丢失,cookies无法写入等
热门推荐
lh87270202的博客
06-09 1万+
前言 现在大部分项目都采用的前后端分离,比哪后台用spring boot ,前端用vue等。 一、会话机制 sessioncookies常用来会话保持。 1. 何为一次会话,会话从什么时候开始,从什么时候结束? 一次会话是指: 好比打电话,当A打给B,电话接通了 会话开始,持断会话结束。 浏览器访问服务器,就如同打电话,浏览器A给服务器发送请求,访问web程序,该次会话就开始,其中不管浏览器发送了多少请求 ,都为一次会话,直到浏览器关闭,本次会话结束。 2.cookies如何保持会话,它的工作流程? 工作
java无法写入cookie_java - 无法创建和设置cookie以处理JSESSSIONID - 堆栈内存溢出
weixin_28077113的博客
03-02 298
我们有一个基于Java的应用程序,可以从网站下载文件必须登录才能访问网站的内容(并下载)所有这些都是使用Apache HttpClient 4.3.3作为此Java应用程序的一部分完成的不幸的是,所实现的代码始终会登录并在Web服务器上创建不需要的会话(〜10000 +)该网站登录后,将提供JSESSSIONID作为cookie的一部分。我想到的是从cookie获取此JSESSIONID并创建co...
vue 获取浏览器response cookie jsessionid获取_cookiesession
weixin_39647458的博客
12-08 7262
cookie产生背景HTTP协议本身是无状态的。服务器无法判断用户身份。Cookie实际上是一小段的文本信息(key-value格式)。客户端向服务器发起请求,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时(发送同类请求:资源路径相同时携带cookie),浏览器把请求的网址连同该Cookie一同提...
sessionCookieJSESSIONID
程宇寒
05-09 5180
&lt;% Cookie cookie = new Cookie("userName", "zhangsan"); cookie.setMaxAge(30 * 24 * 60 * 60); //保存30天//  cookie.setDomain(".baidu.com");//    cookie.setPath("/");//  cookie.setDomain("...
在vue开发项目中如何使用token和sessioncookie
最新发布
06-10
在 Vue 项目中,可以使用 token、sessioncookie 进行用户认证和授权。 1. Token Token 是一种无状态的认证方式,客户端通过用户名和密码向服务器发起请求,服务器验证成功后生成一个 token 并返回给客户端,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值