java web状态跟踪_会话跟踪

最新推荐文章于 2023-03-09 10:11:30 发布

NanBaBa.ningjie

最新推荐文章于 2023-03-09 10:11:30 发布

阅读量159

点赞数

文章标签：网络 tcp/ip java

本文链接：https://blog.csdn.net/TDtuohai/article/details/126573929

版权

会话跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术有Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录用户信息确定用户身份。

Web应用程序是使用HTTP协议传输的。HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(典型案例加入购物车)

（一）隐藏表单域

<form name="testform" action="/xxx">
	//隐藏域
	<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
	<input type="text">
</form>

隐藏表单域是利用 HTML 中的隐藏域，在网页表单内隐藏某些客户端的信息。这些信息会随客户端的请求信息一起传送给服务器，服务器通过获取的这些信息来进行会话跟踪。
这些识别信息是隐藏的，所以不会在客户端的浏览器页面上显示，但是，如果查看 HTML 的源文件，是可以看到这些隐藏字段的，这样很可能会导致用户资料的泄露。显然，这是使用隐藏域方式的一个缺陷

(二)、Cookie

Java中把Cookie封闭成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器端通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的Cookie(以Cookie[]数组形式返回)，通过Response.addCookie(Cookie cookie)向客户端设置Cookie。

Cookie对象使用key-value属性对的形式保存用户状态。一个Cookie对象只保存一个属性对，一个request或者response同时使用多个Cookie。

服务器端只能获取当前用户的Cookie。各客户端的Cookie彼此独立，互不可见。

Unicode编码：保存中文

中文与英文字符不同，中文属于Unicode字符，在内存中占4个字符，而英文属于ASCII字符，内存中只占2个字节。Cookie中保存中文只能编码，一般使用UTF-8编码即可。

BASE64编码：保存二进制图片

Cookie的修改删除

Cookie并不提供修改、删除操作。如果要修改某个Cookie，需要新建一个同名的Cookie,并添加到response中覆盖原来的Cookie。如果要删除一个Cookie,只需要新建一个同名的Cookie，并将maxAge设置为0，并添加到response中覆盖原来的Cookie。修改、删除Cookie时，新建的Cookie除value、maxAge之外的所有属性，都要与原Cookiep完全一样。

(三)Session

Session定义

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户信息以某种记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户端档案表就可以了。

每个来访者对应一个Session对象，所有的该客户的状态信息都保存在这个Session对象中。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对，通过getAttribute(String key)和setAttribute(String key, Object value)访求读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session。request.getSession(Boolean create)来获取Session,如果该Session不存在，则创建。

Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建，只访问HTML、IMAGE等静态资源时不会创建Session。

HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一用户，因此服务器向客户端发送一个名为JSESSIONID的Cookie,它的值为Session的id(也就是HttpSession.getId()的返回值)

(四)URL重写

URL地址重写是对客户端不支持Cookie的解决方案。URL重写的原理是将该用户Session的id信息写到URL地址中。服务器能够解释重写后的URL获取Session的id。这样即使客户端支持Cookie,也可以使用Session来记录用户的状态。HttpServletResponse类提供了encodeURL(String url)实现URL重写。该方法能够自动判断客户端是否支持Cookie。如果支持会将URL原封不动输出，不支持则会把用户的Session的id重写到URL中。

浏览器第一次访问服务器时，请求中不带Cookie。

Cookie和Session比较

从存取方式比较

Cookie中只能保存ASCII码字符串，如果需要存取Unicode字符或二进制数据，需要进行UTF-8,GBK或者BASE64等方式进行编码。Session中可以存取任务类型有数据，能够存取JAVA对象。

从隐私安全方面

从有期方面

从对服务器的负担

从浏览器支持方面

从跨域名方面