Cookie和Session漫谈

1.什么是会话？

会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

简单来说，就是用户开一个浏览器，点击多个超链接，询问服务器多个web资源，然后关闭浏览器，整个过程称为一个会话。

2.会话主要解决的问题：资源共享的问题

3.保存会话数据的两种技术：

Cookie：

属于客户端技术，程序把每个用户的数据以cookie的形式写给各自的浏览器，当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的cookie

Session：

属于服务器端技术，服务器在运行时可认为每一个用户的浏览器创建一个独享的session对象，由于session为用户浏览器独享，所以在用户访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再次去访问服务器中的其他web资源时，其他web资源再次从用户各自的session中取出数据为用户服务。

采用购物车的例子来对Cookie和Session的实现原理过程进行分析：

Cookie实现原理过程

Session实现原理过程

4.Cookie API

javax.servlet.http.Cookie类用于创建一个Cookie，response接口中定义一个addCookie方法，用于在响应头增加一个Set-Cookie字段，同样的，在request接口中也定义一个getCookie方法，用于获取客户端提交的Cookie。

Cookie类常用的方法：

setValue&&getValue—获得Cookie的值

setMaxAge&&getMaxAge—设置有效期

setPath&&getPath—设置Cookie的有效目录

setDomain&&getDomain—设置Cookie的有效域（如：如果设置域.sina.com，那么只浏览新浪网站才回送Cookie给请求者，但是这种方式一般网站会禁止的，因为如果每次都回送Cookie给请求者，那么网站总是会处理数据，会导致网站臃肿，并且如有不良分子，会使网站遭受攻击，所以一般网站会禁止这种方式调用Cookie）

getName—获取Cookie的名称

JavaScript操作Cookie

Cookie是保存在浏览器端的，因此浏览器具有操作Cookie的先决条件。浏览器可以使用脚本程序如JavaScript或者VBScript等操作Cookie。这里以JavaScript为例介绍常用的Cookie操作。例如下面的代码会输出本页面所有的Cookie。

<script>document.write(document.cookie);</script>

由于JavaScript能够任意地读写Cookie，有些好事者便想使用JavaScript程序去窥探用户在其他网站的Cookie。不过这是徒劳的，W3C组织早就意识到JavaScript对Cookie的读写所带来的安全隐患并加以防备了，W3C标准的浏览器会阻止JavaScript读写任何不属于自己网站的Cookie。换句话说，A网站的JavaScript程序读写B网站的Cookie不会有任何结果。

//例如：//如何实现显示用户上次访问的时间
/**
 * 需求：如何实现显示用户上次访问网站的时间
 * 思路：
 * 1.获得用户时间的Cookie
 * 2.给用户返回最新的访问时间
 * @author 芷若初荨
 *
 */
public class CookieDemo extends HttpServlet{

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // TODO Auto-generated method stub
        //解决中文乱码问题
        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("text/html;charset=UTF-8");
        //输出提示
        PrintWriter out=resp.getWriter();
        out.print("<a href='/ResponseWebTest/servlet/DeleteCookieServlet'>清除上次访问时间</a><br/>");
        out.println("您上次访问的时间是：");
        //获得用户的时间Cookie
        Cookie[] cookies=req.getCookies();
        for(int i=0;cookies!=null&&i<cookies.length;i++){
            if(cookies[i].getName().equals("lastAccessTime")){
                //得到用户上次访问时间
                long cookiesValue=Long.parseLong(cookies[i].getValue());
                Date date=new Date(cookiesValue);
                out.println(date.toLocaleString());
            }
        }
        //给用户发送最新的访问时间
        Cookie cookie=new Cookie("lastAccessTime",System.currentTimeMillis()+"");
        cookie.setMaxAge(1*30*24*3600);//设置一个月的时间，需要转化成毫秒值
        cookie.setPath("/ResponseWebTest");//设置有效路径

        //将浏览器带来的Cookie交给response
        resp.addCookie(cookie);


    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(req, resp);
    }


}
public class CookieDemo1 extends HttpServlet{

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // TODO Auto-generated method stub
        Cookie cookie=new Cookie("lastAccessTime",System.currentTimeMillis()+"");
        cookie.setMaxAge(0);//设置一个月的时间，需要转化成毫秒值
        cookie.setPath("/ResponseWebTest");//设置有效路径

        resp.addCookie(cookie);

        //转发
        resp.sendRedirect("/ResponseWebTest/CookieDemo1");
    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // TODO Auto-generated method stub
        doGet(req, resp);
    }

此案例是采用两个Servlet来进行模拟的，显得不是特别规范，但是其中的核心部分还是能够体现出来的。

*细节部分

**一个Cookie只能标识一种信息，它至少含有一个标识该信息的名称和设置值；

**一个WEB站点可以给一个WEB浏览器发送多个Cookie，一个WEB浏览器也可以存储多个WEb站点提供的Cookie，但是一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB；

**一旦创建一个Cookie,并将他发送给浏览器，默认情况下它是一个会话级别的的Cookie，用户退出浏览器就会被删除，若希望浏览器将该Cookie存储在磁盘上，则需要使用MaxAge，并给出一个以秒为单位的时间，将最大有效时间设为0，则是命令浏览器删除该cookie。

5.session

在web开发中，服务器可以为每个用户浏览器创建一个会话对象，一般默认情况下，一个浏览器独占一个session对象，一个Session只为一个会话服务。虽然代码相同，但是不同的浏览器能够得到各自的数据。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

*session和Cookie之间的区别：

**Cookie是把用户的数据写给用户的浏览器，Session技术是把用户的数据写给用户独占的Session中；

**Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到Session对象。

*Session的生命周期

Session保存在服务器端。为了获得更高的存取速度，服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂，当大量客户访问服务器时可能会导致内存溢出。因此，Session里的信息应该尽量精简。

Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session，也可以使用request.getSession(true)强制生成Session。

Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。

*一般情况下，在点击购买或者结账链接时，如果没有Session时需要自己创建Session，执行HttpSesion session=req.getSession(),而在查看购物车时只需要获得session，执行req.getSession(true),就可以获得Session，不需要再次创建。

*摧毁Session的方法：

**方法一：在web.xml文件中配置
   <Session-config>
    <Session-timeOut>10</Session-timeout>
   </Session-config>

**方法二：session.invalidate（）

*session只为一个浏览器服务的原理

虽然Session保存在服务器，对客户端是透明的，它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一客户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的id（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。

该Cookie为服务器自动生成的，它的maxAge属性一般为–1，表示仅当前浏览器内有效，并且各浏览器窗口间不共享，关闭浏览器就会失效。

因此同一机器的两个浏览器窗口访问服务器时，会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口（也就是说不是双击桌面浏览器图标等打开的窗口）除外。这类子窗口会共享父窗口的Cookie，因此会共享一个Session。

注意：新开的浏览器窗口会生成新的Session，但子窗口除外。子窗口会共用父窗口的Session。例如，在链接上右击，在弹出的快捷菜单中选择“在新窗口中打开”时，子窗口便可以访问父窗口的Session。

*如果浏览器禁用session，那么需要后续就不能实现将用户购买的东西存放在浏览器中，

方法一： URL地址重写 ，将每个session的urlid添加在a链接中。

例如：
<td>
    <a href="<%=response.encodeURL("index.jsp?c=1&wd=Java") %>"> 
    Homepage</a>
</td>

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写， 该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie，会将URL原封不动地输出来。如果客户端不支持Cookie，则会将用户Session的id重写到URL中。重写后的输出可能是这样的：

<td>
    <ahref="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=
    1&wd=Java">Homepage</a>
</td>

即在文件名的后面，在URL参数的前面添加了字符串“;jsessionid=XXX”。其中XXX为Session的id。分析一下可以知道，增添的jsessionid字符串既不会影响请求的文件名，也不会影响提交的地址栏参数。用户单击这个链接的时候会把Session的id通过URL提交到服务器上，服务器通过解析URL地址获得Session的id。

其原理是session内部实现是基于Cookie实现的，如图：

*实现用户登录

Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象，所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对，通过getAttribute(Stringkey)和setAttribute(String key，Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session，

例如：
HttpSession session = request.getSession();       // 获取Session对象
session.setAttribute("loginTime", new Date());     // 设置Session中的属性

out.println("登录时间为：" +(Date)session.getAttribute("loginTime"));      // 获取Session属性
request还可以使用getSession(boolean create)来获取Session。

区别是如果该客户的Session不存在，request.getSession()方法会返回null，而getSession(true)会先创建Session再将Session返回。

*使用session记录客户账号信息

源代码如下：
代码1.9  session.jsp
<%@ page language="java" pageEncoding="UTF-8"%>
<jsp:directive.page import="com.helloweenvsfei.sessionWeb.bean.Person"/>
<jsp:directive.page import="java.text.SimpleDateFormat"/>
<jsp:directive.page import="java.text.DateFormat"/>
<jsp:directive.page import="java.util.Date"/>
<%!
    DateFormat dateFormat = newSimpleDateFormat("yyyy-MM-dd");         // 日期格式化器
%>
<%
    response.setCharacterEncoding("UTF-8");        // 设置request编码
    Person[] persons =
    {           
       // 基础数据，保存三个人的信息
        new Person("Liu Jinghua","password1", 34, dateFormat.parse
        ("1982-01-01")),
        new Person("Hello Kitty","hellokitty", 23, dateFormat.parse
        ("1984-02-21")),
        new Person("Garfield", "garfield_pass",23, dateFormat.parse
        ("1994-09-12")),
     };

    String message = "";                      // 要显示的消息

    if(request.getMethod().equals("POST"))
    { 
        // 如果是POST登录       
        for(Person person :persons)
        {           
            // 遍历基础数据，验证账号、密码
            // 如果用户名正确且密码正确
           if(person.getName().equalsIgnoreCase(request.getParameter("username"))&&person.getPassword().equals(request.getParameter("password")))
           {              
               // 登录成功，设置将用户的信息以及登录时间保存到Session
               session.setAttribute("person", person);                   // 保存登录的Person
               session.setAttribute("loginTime", new Date());          // 保存登录的时间              
               response.sendRedirect(request.getContextPath() + "/welcome.jsp");
               return;
            }
        }      
        message = "用户名密码不匹配，登录失败。";       // 登录失败
    }
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01Transitional//EN">
<html>
    // ... HTML代码为一个FORM表单，代码略，请看随书光盘
</html>

登录界面验证用户登录信息，如果登录正确，就把用户信息以及登录时间保存进Session，然后转到欢迎页面welcome.jsp。welcome.jsp中从Session中获取信息，并将用户资料显示出来。

welcome.jsp代码如下：
代码1.10  welcome.jsp
<%@ page language="java" pageEncoding="UTF-8"%>
<jsp:directive.pageimport="com.helloweenvsfei.sessionWeb.bean.Person"/>
<jsp:directive.page import="java.text.SimpleDateFormat"/>
<jsp:directive.page import="java.text.DateFormat"/>
<jsp:directive.page import="java.util.Date"/>
<%!
    DateFormat dateFormat = newSimpleDateFormat("yyyy-MM-dd");         // 日期格式化器
%>
<%
    Person person =(Person)session.getAttribute("person");                       // 获取登录的person
    Date loginTime =(Date)session.getAttribute("loginTime");                     // 获取登录时间
%>
    // ... 部分HTML代码略
            <table>
               <tr><td>您的姓名：</td>
                   <td><%= person.getName()%></td>
               </tr>
               <tr><td>登录时间：</td>
                   <td><%= loginTime%></td>
               </tr>
               <tr><td>您的年龄：</td>
                   <td><%= person.getAge()%></td>
               </tr>
               <tr><td>您的生日：</td>
                   <td><%=dateFormat.format(person.getBirthday()) %></td>
               </tr>
            </table>

提示：Session的使用比Cookie方便，但是过多的Session存储在服务器内存中，会对服务器造成压力。