问题引入
使用Java(包含但不仅限)进行web开发,采用http作为前后端交互的协议,那么这里需要明白一下HTTP是无状态的。简单来讲,使用HTTP协议访问服务器时,每次访问之间是互不影响的,这就是无状态。
但是,存在一个问题,服务器需要保存用户访问的一些状态。大家想一下,为什么每次登陆淘宝和京东之后,系统会知道我是我呢?原因就是服务器保存了你的登陆信息,所以当你再次访问服务器的时候系统就知道你是你了。
由于Http协议是无状态的,也就导致服务器无法分辨是谁浏览了网页。为维持用户在网站的状态,比如登陆、购物车等,先后出现了四种技术,分别是隐藏表单域、URL重写、cookie、session。
session和cookie简单说明
本质上这两个技术(概念),其目的就是为了在保存信息(状态)
session:解决Http协议不能维持状态的问题,但是session只存储在服务器端的,不会在网络中进行传输。[服务端状态保存技术]
cookie:是浏览器保存在用户电脑上的一小段文本,用来保存用户在网站上的必要的信息。[客户端状态保存技术]
通过登陆了解cookie和session
1.用户在登录时向服务器发送HTTP请求,携带username和password;
2.服务器接受请求,执行登陆逻辑,生成用户session保存用户登陆信息,同时服务器端生成对应的cookie,该cookie中包含了sessionID,响应给浏览器;
2.浏览器本地保存cookie值;
3.登录后,用户再向服务器发送请求到服务器,则带着浏览器本地保存的cookie值;
4.服务器在接受到请求后,获取到请求参数(里面带有cookie),服务器从cookie值取出sessionID,根据sessionID找到对应session,若有对应的session,则可以执行相应的操作,否者需要进行其他处理。
大家可以看一幅如下图理解一下:
session和cookie有啥区别?
- cookie和session都是基于键值对的字符串,都由后端服务器生成;
- cookie保存在客户端浏览器中,session保存在服务器中,session比cookie更安全。
- session是key-value格式的数据,则它的键session_id保存在cookie中的,值session_data保存在服务器,通过key来取到value;
cookie机制
S(服务端)—>C(客户端) 生成cookie
正统的cookie分发是通过扩展HTTP协议来实现的,服务器通过在HTTP的响应头中加上一行特殊的指示以提示浏览器按照指示生成相应的cookie。
C(客户端) —>S(服务端)传递cookie
而cookie 的使用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie,如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置,则把该cookie附在请求资源的HTTP请求头上发送给服务器。
cookie的内容主要包括:名字,值,过期时间,路径和域。
域(域名)
例如:.csdb.net,或者mp.csdn.net
路径
就是跟在域名后面的URL路径,例如:/或者/foo等等,路径与域合在一起就构成了cookie的作用范围。
过期时间
如果不设置过期时间,则表示这个cookie的生命期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。这种生命期为浏览器会话期的 cookie被称为会话cookie。会话cookie一般不存储在硬盘上而是保存在内存里,当然这种行为并不是规范规定的。
如果设置了过期时间,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie仍然有效直到超过设定的过期时间。
下面就是一个goolge设置cookie的响应头的例子
HTTP/1.1 302 Found
Location: http://www.google.com/intl/zh-CN/
// Set-Cookie提示浏览器按照指示生成相应的cookie
Set-Cookie:PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8; expires=Sun,
17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Content-Type: text/html
浏览器在再次访问goolge的资源时自动向外发送cookie
session机制
session机制是一种服务器端状态保存技术,服务器使用一种类似于散列表的结构来保存信息。
session创建
- 当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id;
- 如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用(如果检索不到,可能会新建一个);
- 如果客户端请求不包含session如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id;
- session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个 session id将被在本次响应中返回给客户端保存。
sessionID 保存
cookie
保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识返回给服务器。一般这个cookie的名字都是类似于SEEESIONID,而。比如weblogic对于web应用程序生成的cookie,JSESSIONID= yOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,它的名字就是 JSESSIONID。
URL重写
由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种:
- 一种是作为URL路径的附加信息,表现形式为http://…/xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
- 另一种是作为查询字符串附加在URL后面,表现形式为http://…/xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
这两种方式对于用户来说是没有区别的,只是服务器在解析的时候处理的方式不同,采用第一种方式也有利于把session id的信息和正常程序参数区分开来。为了在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。
表单隐藏字段
就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如下面的表单
<form name="testform" action="/xxx">
<input type="text">
</form>
在被传递给客户端之前将被改写成
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
一个误解
常常听到这样一种误解“只要关闭浏览器,session就消失了”,这是有问题的。
除非程序通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。
然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个 session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。
恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。
常见的问题
session问题
1、session何时被创建
一个常见的误解是以为session在有客户端访问时就被创建,然而事实是直到某server端程序调用HttpServletRequest.getSession(true)
这样的语句时才被创建,注意如果JSP没有显示的使用 <% @page session=“false”%>关闭session,则JSP文件在编译成Servlet时将会自动加上这样一条语句HttpSession session = HttpServletRequest.getSession(true);
这也是JSP中隐含的 session对象的来历。由于session会消耗内存资源,因此,如果不打算使用session,应该在所有的JSP中关闭它。
2、session何时被删除
综合前面的讨论,session在下列情况下被删除
a.程序调用HttpSession.invalidate();
b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;
c.服务器进程被停止(非持久session)
3、如何做到在浏览器关闭时删除session
严格的讲,做不到这一点。可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose()来监视浏览器的关闭动作,然后向服务器发送一个请求来删除session。
但是对于浏览器崩溃或者强行杀死进程这些非常规手段仍然无能为力。
4、有个HttpSessionListener是怎么回事
你可以创建这样的listener去监控session的创建和销毁事件,使得在发生这样的事件时你可以做一些相应的工作。注意是session的创建和销毁动作触发listener,而不是相反。类似的与HttpSession有关的listener还有HttpSessionBindingListener,HttpSessionActivationListener和 HttpSessionAttributeListener。
5、存放在session中的对象必须是可序列化的吗
不是必需的。要求对象可序列化只是为了session能够在集群中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。
6、如何才能正确的应付客户端禁止cookie的可能性
对所有的URL使用URL重写,包括超链接,form的action,和重定向的URL,具体做法参见[6]http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770
7、开两个浏览器窗口访问应用程序会使用同一个session还是不同的session
对session来说是只认id不认人,因此不同的浏览器,不同的窗口打开方式以及不同的cookie存储方式都会对这个问题的答案有影响。
8、如何防止用户打开两个浏览器窗口操作导致的session混乱
这个问题与防止表单多次提交是类似的,可以通过设置客户端的令牌来解决。就是在服务器每次生成一个不同的id返回给客户端,同时保存在session里,客户端提交表单时必须把这个id也返回服务器,程序首先比较返回的id与保存在session里的值是否一致,如果不一致则说明本次操作已经被提交过了。可以参看《J2EE核心模式》关于表示层模式的部分。需要注意的是对于使用javascript window.open打开的窗口,一般不设置这个id,或者使用单独的id,以防主窗口无法操作,建议不要再window.open打开的窗口里做修改操作,这样就可以不用设置。
cookie问题
1、java中cookie设置
文章:https://blog.csdn.net/zyj66666/article/details/74784528
2、cookie如何创建
Web 服务器通过发送一个称为 Set-Cookie 的 HTTP 消息头来创建一个 cookie,Set-Cookie消息头是一个字符串,其格式如下(中括号中的部分是可选的):
Set-Cookie: value[; expires=date][; domain=domain][; path=path][; secure]
value部分,通常是一个 name=value 格式的字符串。事实上,这种格式是原始规范中指定的格式,但是浏览器并不会对 cookie 值按照此格式来验证。实际上,你可以指定一个不含等号的字符串,它同样会被存储。然而,最常用的使用方式是按照 name=value 格式来指定 cookie 的值(大多数接口只支持该格式)。
发送回服务器的cookie只包含cookie设置的值,而不包含cookie的其他可选项,而且浏览器不会对cookie做任何更改,会原封不动的发送回服务器。当存在多个cookie时,用分号和空格隔开:
Cookie: name=value; name1=value1; name2=value2/pre>
参考博文:
cookie session的本质
深入分析理解session与cookie的作用
Session原理解释,为什么使用