Cookie 和 Session会话的理解与应用(附带案例)

会话

一、简介

客户端服务器连接开始,请求和响应的过程中都属于⼀次会话。客户端和服务器交流的过程,这个过程是⼀个持续的过程,当关闭客户端或者服务器 该次会话结束。再次过程中都属于同⼀次会话,不管访问时哪个⻚⾯或者 哪个Servlet都属于该会话 ⼀次会话指的是:就好⽐打电话,A给B打电话,接通之后,会话开始,直到挂断电话,该次会话就结束了,⽽浏览器访问服务器,就跟打电话⼀样,浏览器A给服务器发送请求,访问web程序,该次会话就已经接通,其中不管浏览器发送多少请求(就相当于接通电话后说话⼀样),都视为⼀次会话,直到浏览器关闭,本次会话结束。其中注意,⼀个浏览器就相当于⼀部电话,如果使⽤⽕狐浏览器,访问服务器,就是⼀次会话了,然后打开google浏览器,访问服务器,这是另⼀个会话,虽然是在同⼀台电脑,同⼀个⽤户在访问,但是,这是两次不同的会话。

二、作用、

  • 因为HTTP协议是⽆状态的,所以很显然服务器不可能知道我们已经在上⼀次的HTTP请求中通过了验证。当然,最简单的解决⽅案就是所有的请求⾥⾯都带上⽤户名和密码,这样虽然可⾏,但⼤⼤加重了服务器的负担(对于每个request都需要到数据库验证),也⼤⼤降低了⽤户体验(每个⻚⾯都需要重新输⼊⽤户名密码,每个⻚⾯都带有登录表单)。既然直接在请求中带上⽤户名与密码不可⾏,那么就只有在服务器或客户端保存⼀些类似的可以代表身份的信息了,所以就有了cookie与session,cookie和session⽤来跟踪⽤户的整个会话。

  • 在程序中,会话跟踪是很重要的事情。理论上,⼀个⽤户的所有请求操作都应该属于同⼀个会话,⽽另⼀个⽤户的所有请求操作则应该属于另⼀个会话,⼆者不能混淆。例如,⽤户A在超市购买的任何商品都应该放在A的购物⻋内,不论是⽤户A什么时间购买的,这都是属于同⼀个会话的,不能放⼊⽤户B或⽤户C的购物⻋内,这不属于同⼀个会话。

  • ⽽Web应⽤程序是使⽤HTTP协议传输数据的。HTTP协议是⽆状态的协议。⼀旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建⽴新的连接。这就意味着服务器⽆法从连接上跟踪会话。即⽤户A购买了⼀件商品放⼊购物⻋内,当再次购买商品时服务器已经⽆法判断该购买⾏为是属于⽤户A的会话还是⽤户B的会话了。要跟踪该会话,必须引⼊⼀种机制。Cookie和session就是这样的⼀种机制。它可以弥补HTTP协议⽆状态的不⾜。

三、Cookie

3.1、理解

Cookie:本意是⼩点⼼ ⼩甜点 ⼩饼⼲。

创建⼀个cookie,即servlet发送到Web浏览器的少量信息,由浏览器保存,然后发送回服务器。cookie的值

可以唯⼀标识客户端,因此cookie通常⽤于会话管理。

3.2、原理

那么如何跟踪会话呢,我们需要掌握该会话的原理就清楚了:

原理:

Cookie是解决HTTP⽆状态性的有效⼿段,服务器可以设置或读取Cookie中所包含的信息。当⽤户登录后,

服务器会发送包含登录凭据的Cookie到⽤户浏览器客户端,⽽浏览器对该Cookie进⾏某种形式的存储(内存或硬盘)。⽤户再次访问该⽹站时,浏览器会发送该Cookie(Cookie未到期时)到服务器,服务器对该凭据进⾏验证,合法时使⽤户不必输⼊⽤户名和密码就可以直接登录。

本质上讲,Cookie是⼀段⽂本信息。客户端请求服务器时,如果服务器需要记录⽤户状态,就在响应⽤户请求时发送⼀段Cookie信息。客户端浏览器保存该Cookie信息,当⽤户再次访问该⽹站时,浏览器会把Cookie做为请求信息的⼀部分提交给服务器。服务器检查Cookie内容,以此来判断⽤户状态,服务器还会对Cookie信息进⾏维护,必要时会对Cookie内容进⾏修改。

在这里插入图片描述

简⽽⾔之我们可以这么理解:

  • 当从浏览器发送请求到服务器后,servlet创建cookie,保存少量数据,发送浏览器。

  • 浏览器获得服务器发送的cookie数据,将⾃动的保存到浏览器端。

  • 下次访问时,浏览器将⾃动携带cookie数据发送给服务器。

浏览器查看Cookie的⽅式:

在这里插入图片描述

3.3、使用

1、Cookie创建

Cookie cookie = new Cookie(String key,String value);

key:表示cookie的名字

value:表示cookie中保存的数据

2、设置有效时间 不受浏览器关闭的影响

为何要设置有效时间呢?因为浏览器关闭后该会话就结束了,因此要设置有效时间来保证浏览器关闭后

Cookie会话还存在,单位为秒

cookie.setMaxAge(int expiry);
  • 默认值为 -1 :代表浏览器关闭后,也就是会话结束后,cookie就失效了,也就没有了;

  • expiry>0 :代表浏览器关闭后,cookie不会失效,仍然存在。并且会将cookie保存到硬盘中,直到设置时

间过期才会被浏览器⾃动删除;

  • expiry=0:删除cookie。不管是之前的expiry=-1还是expiry>0,当设置expiry=0时,cookie都会被

浏览器给删除。

3、 设置有效路径

  • 有效路径 默认路径 :创建cookie的Servlet的上⼀层路径

    cookie.setPath("/应⽤名/xx");

  • 哪些Servlet可以获取该cookie: 访问路径为/应⽤名/xx以及其⼦路径都可以访问到

4、发送给浏览器

response.addCookie(cookie);

5、获取Cookie

Cookie[] cookies = request.getCookies();

if(cookies!=null) {
 	for (Cookie cookie : cookies) {
 		// 获取cookie的名称
		 String name = cookie.getName();
		 // 获取cookie的值
		 String value = cookie.getValue();
		 System.out.println(name+":::"+value);
 	} 
}

3.4、特点

1、Cookie中只能以键值对的形式保存字符串类型的数据

2、Cookie中保存的数据有⼤⼩限制,⼀般不超过4KB

3、Cookie是保存在客户端的,安全性较差

4、Cookie默认有效期是浏览器关闭即销毁,所以如果想持久保存Cookie对象,⼀定要设置有效期,并且有效期时间单位是秒。

3.5、使用场景

1、记住⽤户名

登录时,在服务器端获取到⽤户名,然后创建⼀个cookie,将⽤户名存⼊cookie中,发送回浏览器端,然后浏览器下次在访问登录⻚⾯时,先拿到cookie,将cookie中的信息拿出来,看是否保存了该⽤户名,如果保存了,那么直接⽤他,如果没有,则⾃⼰⼿写⽤户名。cookie需要将所有信息都保存在客户端。因此cookie存在着⼀定的安全隐患,例如本地cookie中保存的⽤户名和密码被破译,或cookie被其他⽹站收集。

2、历史记录

⽐如购物⽹站,都会有我们的浏览记录的,实现原理其实也是⽤cookie技术,每浏览⼀个商品,就将其存⼊

cookie中,到需要显示浏览记录时,只需要将cookie拿出来遍历即可。

3.6、案例、记住账号

// 我们通过代码演示使⽤场景中的第⼀种需求:
// 代码示例:
SaveUserServlet代码:
@WebServlet("/login")
public class SaveUserServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp) throws
ServletException, IOException {
 //解决中⽂乱码处理
 req.setCharacterEncoding("utf-8");
 resp.setContentType("text/html;charset=utf-8");
    //模拟⽤户的登录场景,假设给定⽤户名和密码 ⽤户名:admin 密码:123456
 //1.获取表单数据
 String username = req.getParameter("username");
 String password = req.getParameter("password");
 //2.登录判断
 if("admin".equals(username)&&"123456".equals(password)){
 //登录成功-->将⽤户的信息保存到Cookie中,下次登录时不需要填写⽤户名及密码了
 Cookie c1 = new Cookie("name",username);
 Cookie c2 = new Cookie("pwd",password);
 //设置⽣存时间
 c1.setMaxAge(60*60*24*7);
 c2.setMaxAge(60*60*24*7);
 //返回给浏览器保存
 resp.addCookie(c1);
 resp.addCookie(c2);
 resp.sendRedirect("login_success.jsp");
 }else{
 //登录失败,重新登录,并给提示
 req.setAttribute("msg","⽤户名或者密码不正确");
 req.getRequestDispatcher("login.jsp").forward(req,resp);
 }
 }
}
// 登录⻚⾯login.jsp:
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html> <head> <title>登录⻚⾯</title>
</head> <body>
<%
 //获取浏览器Cookie
 Cookie[] cookies = request.getCookies();
 if(cookies!=null){
 //遍历每⼀个Cookie找到保存⽤户信息的Cookie
 for(Cookie c:cookies){
 if("name".equals(c.getName())){
 //获取cookie中保存的⽤户名
 String uname = c.getValue();
 //保存到page共享域中
 pageContext.setAttribute("username",uname);
 }
 if("pwd".equals(c.getName())){
 String upwd = c.getValue();
 pageContext.setAttribute("password",upwd);
 }
     }
 }
%>
<form action="login">
 <span id="msg" style="color: red">${msg}</span> <br>
 ⽤户名:<input type="text" name="username" value="${username}"/> <br>&nbsp;&nbsp;&nbsp;:<input type="password" name="password"
value="${password}"/> <br>
 <input type="submit" value="登录">
</form>
</body>
</html>
登录成功⻚⾯ login_success.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html> <head> <title>登录成功⻚⾯</title>
</head> <body>
欢迎⽤户登录成功!!!
</body>
</html>

演示效果:

登录失败效果:

在这里插入图片描述

登录成功后再⼀次访问登录⻚⾯的效果

在这里插入图片描述

四、Session

3.1、理解

可以跨多个⻚⾯请求或访问⽹站来识别⽤户,并存储有关该⽤户的信息。servlet容器使⽤此接⼝在HTTP客户端和HTTP服务器之间创建会话。会话将在指定的时间段内持续,跨越⽤户的多个连接或⻚⾯请求。⼀个会话通常对应于⼀个⽤户,该⽤户可能会多次访问⼀个站点。服务器可以通过多种⽅式维护会话,例如使cookie或重写URL。

3.2、原理

⾸先浏览器请求服务器访问web站点时,程序需要为客户端的请求创建⼀个session的时候,服务器⾸先会检查这个客户端请求是否已经包含了⼀个session标识、称为SESSIONID,如果已经包含了⼀个sessionid则说明以前已经为此客户端创建过session,服务器就按照sessionid把这个session检索出来使⽤,如果客户端请求不包含session id,则服务器为此客户端创建⼀个session并且⽣成⼀个与此session相关联的session id,sessionid 的值应该是⼀个既不会重复,⼜不容易被找到规律以仿造的字符串,这个sessionid将在本次响应中返回到客户端保存,保存这个sessionid的⽅式就可以是cookie,这样在交互的过程中,浏览器可以⾃动的按照规则把这个标识发回给服务器,服务器根据这个sessionid就可以找得到对应的session

在这里插入图片描述

在运⾏记住密码项⽬时,通过浏览器查看我们发现Cookie中保存处理⽤户名和密码外,还有⼀个JSESSIONID,这个就是发送请求时创建的session对象对应的id。

在这里插入图片描述

3.3、使用

1、获取session对象

HttpSession session = request.getSession();

2、保存数据到session中

session.setAttribute(String 绑定名, Object 绑定值);

3、获取session数据

Object session.getAttribute("绑定名");

4、有效时间 单位秒 默认30分钟,可以去tomcat中conf下web.xml⽂件查看

session.setMaxInactiveInterval(int expiry);

5、销毁session对象

session.invalidate();

3.4、特点

1、存储在服务器端

2、默认超时时间为30分钟

3、Session做为第⼆⼤域对象,在⼀个会话范围内的数据是可以共享的

4、Session存储的数据可以是任意类型

3.5、使用场景

1、⽤户登录时的安全校验

2、 购物⻋

3.6、购物车案例

四、Cookie 和 Session 的区别

1、 Cookie和Session都是会话技术,Cookie是运⾏在客户端,Session是运⾏在服务器端。

2、 Cookie有⼤⼩限制以及浏览器在存cookie的个数也有限制,Session是没有⼤⼩限制和服务器的内存⼤⼩

有关。

3、 Cookie只能保存字符串数据,Session可以保存任意类型数据

4、 Cookie有安全隐患,通过拦截或本地⽂件找得到你的cookie后可以进⾏攻击。

5、Session是保存在服务器端上会存在⼀段时间(默认30分钟)才会消失,如果session过多会增加服务器的压

和 Session 的区别

1、 Cookie和Session都是会话技术,Cookie是运⾏在客户端,Session是运⾏在服务器端。

2、 Cookie有⼤⼩限制以及浏览器在存cookie的个数也有限制,Session是没有⼤⼩限制和服务器的内存⼤⼩

有关。

3、 Cookie只能保存字符串数据,Session可以保存任意类型数据

4、 Cookie有安全隐患,通过拦截或本地⽂件找得到你的cookie后可以进⾏攻击。

5、Session是保存在服务器端上会存在⼀段时间(默认30分钟)才会消失,如果session过多会增加服务器的压

⼒。

评论 1 您还未登录,请先 登录 后发表或查看评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
©️2022 CSDN 皮肤主题:数字20 设计师:CSDN官方博客 返回首页

打赏作者

PIKapikaaaa

你的鼓励将是我创作的最大动力

¥2 ¥4 ¥6 ¥10 ¥20
输入1-500的整数
余额支付 (余额:-- )
扫码支付
扫码支付:¥2
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值