\\不是原创,从各个文章中转载过来的,仅仅是自己保留做个笔记
引入:
我们都知道http协议本身是一种无状态的协议,一个普通的请求大致分为三步:
1、客户端发送请求给服务器
2、服务器处理该请求
3、服务器将处理结果响应该客户端。
之后该客户端再次向该服务区发送请求后,服务器端并不知道这两个请求是否是同一个浏览器或用户发出来的。所以必须采用某种方式来识别同一个用户,并记录该用户的状态。而同一个客户端与服务器端的在一段时间内的多次交互,我们就可以称该客户端为该服务器端的一个客户端会话窗口,有了会话窗口,就能确定哪个请求是哪个用户发出的了,从而可以实现会话跟踪,并记录用户的行为。
概念:
会话:可以理解为用户打开浏览器,访问该web服务器的多个资源,然后关闭浏览器,这中间的一系列过程称之为一个会话。
有状态的会话:浏览器发送的每一次请求,每一个会话都要有唯一的标识来唯一标识自己,当浏览器发送请求的时候就带上这个标识来让服务器识别,从而实现有“状态”的会话。
javaweb中有两种实现会话的机制:
1)Cookie机制
2)Session机制
PS:cookie和session是浏览器与服务器交互的一种规范,只要浏览器或服务器遵守了该规范,我们就能使用cookie和session。
一、cookie机制
1、基本介绍
1)cookie机制采用的是 在客户端保持 HTTP 状态信息的方案。当浏览器访问WEB服务器的某个资源时,WEB服务器会在 HTTP响应头中 添加一个键值对 传送给浏览器,再由浏览器将该cookie放到客户端磁盘的一个文件中,该文件可理解为cookie域(键值对的集合),往后每次访问某个网站时,都会在请求头中带着这个网站的所有cookie值。
2)每一个cookie都有一个name和一个value,且name是唯一的。相同名字时,后者会覆盖掉前者。
3)一个WEB浏览器也可以存储 多个WEB站点提供的Cookie。浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。
2、分类
1)会话级别的cookie
默认情况下它是一个会话级别的cookie,存储在浏览器的内存中,用户退出浏览器之后被删除。
2)持久化的cookie
若希望浏览器将该cookie存储在磁盘上,则需要设置该cookie的生命周期setMaxAge,并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。
3、cookie的作用域
cookie的domain和path属性定义了cookie的作用范围,即访问哪些网站或url时,会自动的带着该cookie。domain即域名,默认是当前主机(不包括子域名),path默认是*(所有路径),即域名后面的的路径。
4、基本原理
浏览器(访问)——>服务器,服务器(cookie)——>浏览器,浏览器 二次访问(cookie)——>服务器
当一个浏览器访问某web服务器时,web服务器会调用HttpServletResponse的addCookie()方法,在响应头中添加一个名叫Set-Cookie的响应字段用于将Cookie 返回给浏览器,当浏览器第二次访问该web服务器时会自动的将该cookie回传给服务器,来实现用户状态跟踪。
API,全称Application Programming Interface,是一种用于不同应用程序间通信的接口,它允许不同的应用程序之间交换数据和功能。API可以理解为应用程序提供给其他应用程序或开发者的接口,通过这个接口,其他应用程序或开发者可以访问应用程序的数据和功能,实现数据共享、协作开发、系统集成等。
一、API的分类
Web API
Web API是一种基于HTTP协议实现的API,常用于Web开发中。Web API可以通过浏览器访问,也可以通过其他应用程序通过HTTP请求访问。Web API包括RESTful API和SOAP API两种类型
2.操作系统API
3.应用程序API
5、基本应用
自动登录、跟踪用户上次访问站点的时间、显示最近浏览信息等。
这是一个使用cookie进行自动登录的服务器代码
//如果cookie中有customer信息,就放到session中
boolean checkCustomerCookie(HttpServletRequest request) throws UnsupportedEncodingException {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
String cookieName = cookie.getName();
//如果有,解密后拿cookie中的值和数据库中的值进行比较
if (Constant.cookieCustomerKey.getName().equals(cookieName)){
String cookieValue = cookie.getValue();
String decry = EncrypUtils.Base64Util.decry(cookieValue);
Customer customer1 = JsonUtils.stringToObject(decry, Customer.class);
Customer customer2 = customerService.checkLogin(customer1.getPhoneNumber(), customer1.getPassword());
if (customer2 != null){
//放入到session中,放行
request.getSession().setAttribute("customer",customer2);
//自动登录时,更新用户的在线状态
Customer onlineCustomer = new Customer();
onlineCustomer.setId(customer2.getId());
onlineCustomer.setOnlineStatus(String.valueOf(Constant.ONLINESTATUS.getCode()));
customerService.updateById(onlineCustomer);
return true;
}
}
}
}
return false;
}
二、session机制
1、基本介绍
session机制采用的是在 服务器端保持 HTTP 状态信息的方案。为了加速session的读取和存储,web服务器中会开辟一块内存用来保存 服务器端所有的session,每个session都会有一个唯一标识sessionid,根据客户端传过来的jsessionid(cookie中),找到对应的服务器端的session。
为了防止服务器端的session过多导致内存溢出,web服务器默认会给每个session设置一个有效期, (30分钟)若有效期内客户端没有访问过该session,服务器就认为该客户端已离线并删除该session。
保存sessionID的方式
1)cookie中
通过一个特殊的cookie,name为JSESSIONID,value为服务器端某个 session的ID,默认的方式。但是当浏览器禁用cookie后session就会失效。
2)url重写
当浏览器Cookie被禁时用。
就是把session的id附加在URL路径的后面。附加的方式也有两种,一种是作为URL路径的附加信息,另一种是作为查询字符串附加在URL后面。
2、基本原理
当用户发送一个请求到服务器端时,服务器会先检查请求中是否含有sessionid(存在cookie中或者在url中),
》》如果不存在sessionid(说明是第一次请求),就会为该请求用户创建一个session对象,并将该session对象的sessionid(放到响应头的set-cookie中,下次再请求时cookie中就会有一个name为jsessionid的cookie,value就是sessionid)响应给客户端。
》》如果存在sessionid,就会在服务器端查找是否有该sessionid对应的session,如果有就使用,没有就创建一个。
所以说,服务器端的session和客户端的cookie是息息相关的,若是没有了cookie,又不做其他处理的话,服务器端的session也没了。
4、基本应用
跨浏览器的会话跟踪 因为cookie在多个浏览器之间是共享的(但是不能跨域),所以可以将sessionid存在cookie中,再把cookie存入磁盘中,然后在其他浏览器中再次访问该服务器时,就会读取到cookie中的sessionid,从而回到上次访问的页面了。
5、常见问题
1、关闭浏览器后cookie会消失吗? 答:看情况。
,cookie默认是存在于浏览器内存中的,若此时cookie没有持久化,浏览关闭后cookie会消失;若此时cookie进行了持久化,浏览器关闭后cookie不会消失。
2、关闭浏览器后session会消失吗? 答:不会。
这个问题需要从以下两个方面考虑:
1)从服务器端考虑
我们知道session是存在于服务器端内存中的,和浏览器没有关系,所以浏览器关闭后,服务器端的session不会消失。(除非服务器重启或session达到了过期时间)
2)从浏览器端考虑
我们知道浏览器是根据cookie中的jesessionid值来唯一找到服务器端的session的,此时若cookie没有持久化,浏览器关闭后cookie也跟着消失。所以当用户再次打开浏览器后,由于没有了cookie中的jesessionid,自然也无法唯一找到服务器端的session,对用户来说,确实是浏览器关闭后再次打开就无法找到上次的会话了,误以为是关闭浏览器后服务器端的session也跟着消失,其实还在。
三、token
1、token是啥?
token,可以翻译成"令牌",本质上它是一个全局唯一的字符串,用来唯一识别一个客户端。但它不像cookie和session一样是一种web规范,个人认为他是借鉴了cookie和session工作的原理,进而延伸出来的一种维持用户会话状态的机制。
2、token解决了什么问题?
token解决了session依赖于单个Web服务器的问题。单体应用时用户的会话信息保存在session中,session存在于服务器端的内存中,由于前前后后用户只针对一个web服务器,所以没啥问题。
但是一到了web服务器集群的环境下,就会导致用户小a在A服务器登录了,session存在于A服务器中,但是第二次请求被分配到了B服务器,由于B服务器中没有用户小a的session会话,导致用户小a还要再登陆一次。当然解决办法也有很多种,比如同一个用户分配到同一个服务处理、使用cookie保持用户会话信息等。
3、我们可以模拟cookie和session的这种机制:
①、cookie中是根据jesessionid来找到服务器端的session的,jesessionid就是一个全局唯一的随机字符串,我们也可以生成一个全局唯一的字符串比如使用UUID或时间戳加随机字符串的形式;
②、web服务器在内存中存储所有的session,每个session都有一个唯一的id标识,value就是session本身,session里面又有好多键值对。数据在内存中、key-value形式的、value里面又有好多键值对,这简直就是对redis的哈希表十分准确的描述啊,所以我们可以使用redis的哈希类型来模型服务器端的session。
③、有了客户端的随机字符串,有了服务器端的会话信息存储,接下来就让他们匹配起来就完事了,next:
cookie和session机制中是根据cookie中的jesessionid来自动找到服务器端的session,说是自动查找,其实是我们调用了他封装好的方法request.getSession()获取的,这个request中就包含了本次请求的所有信息,而调用的getSession()方法中,肯定做了这件事——获取请求头中cookie的jesessionid的值,根据这个值到服务器的内存中找到对应的session并返回。所以我们也完全可以模仿它这种机制:我们可以在用户第一次请求该web服务器时或是用户登录该web服务器时,生成一个全局唯一的token返回给前端存储,同时将该用户信息存到redis中并设置有效期,之后每次请求中都在请求头中带着这个token,服务器端根据这个token到redis中查找对应的用户信息,即得到了我们所说的 "session"。
客户端的token我们可以这样传:
$.ajax({
headers:{"token":localStorage.getItem('token')},
type: 'get',
url:'/xxx/xxx/xxx',
dataType: 'json',
success: function(we) {
// some code
});
},
服务器端的用户信息我们可以这样获取:
-
/** * 返回当前用户 * @return */ public User getCurrUser(){ ServletRequestAttributes servletRequestAttributes = (ServletRequestAttributes)RequestContextHolder.getRequestAttributes(); String token = servletRequestAttributes.getRequest().getHeader("token"); String strUser = RedisUtils.get(token); return JsonUtils.stringToObject(strUser,User.class); }
1041
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
