深入理解JavaWeb(四)——会话跟踪技术
摘要:当用户发出请求时,服务器就会做出响应,客户端与服务器之间的联系是离散的、非连续的。当用户在同一网站的多个页面之间转换时,根本无法确定是否是同一个客户,会话跟踪技术就可以解决这个问题。当一个客户在多个页面间切换时,服务器会保存该用户的信息。
在本文中,我们会了解如今最常见的两种会话跟踪技术——Cookie和Seesion。
作者:来自ArimaMisaki创作
文章目录
6 会话跟踪技术
6.1 会话跟踪概述
会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话就会结束。在一次会话中可以包含多次请求和响应。现在假设有3个浏览器同时访问该服务器,那么实际上开启了三个会话。
会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多次请求间共享数据。在前面我们曾经提到过,HTTP请求是互相独立互不影响的,假设这么一个场景:我们上京东看到一件商品,将他加入购物车;按照http协议的无状态性,每次浏览器向服务器发起请求时,服务器都会将该请求视为新的请求,故购物车中绝对不会出现该商品,因为http请求互不影响,但有了会话跟踪的共享数据功能,购物车就可以成功地将商品添加到购物车中。
实现方式:要想实现会话跟踪,我们可以从客户端和服务端两边下手:
- 客户端会话跟踪技术:Cookie
- 服务端会话跟踪技术:Session
6.2 Cookie基本使用
原理:Cookie是一种客户端会话跟踪技术,其将数据保存到客户端,以后每次请求都携带Cookie数据进行访问。假设客户端向服务器端发送了请求1,而后得到响应将数据带回来,浏览器会将数据以Cookie的形式存储在浏览器的内存中。当发起请求2时,会携带着该Cookie形式的数据一起访问服务端。
使用:Cookie的使用大致可以分为发送Cookie和获取Cookie
-
创建Cookie对象,设置数据
Cookie cookie = new Cookie("key","value"); -
发送Cookie到客户端,使用response对象
response.addCookie(cookie); -
获取Cookie
Cookie[] cookies = request.getCookies(); -
遍历数组,获取每个Cookie对象
-
使用Cookie对象方法获取数据
cookie.getName(); cookie.getValue();
步骤演示:
-
创建一个AServlet类
package web; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.io.IOException; @WebServlet("/aServlet") public class AServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { Cookie cookie = new Cookie("username","zs"); response.addCookie(cookie); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { } } -
创建一个BServlet类
package web; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.io.IOException; @WebServlet("/bServlet") public class BServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { Cookie[] cookies = request.getCookies(); for (Cookie cookie : cookies){ String name = cookie.getName(); if("username".equals(name)){ String value = cookie.getValue(); System.out.println(name+":"+value); break; } } } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { } } -
启动服务器,访问AServlet后再访问BServlet,查看控制台。
6.3 Cookie原理
原理:Cookie的实现是基于HTTP协议的,主要采用响应头set-cookie和请求头cookie。在客户端发起一次请求时,服务端获取到请求1,并做出响应1,此时响应1中发出的响应带头set-cookie,其值对应着请求2需要的数据;而客户端在发起请求2时,通过请求头cookie存放set-cookie刚刚返回的值,并通过响应2一起返回给客户端。
6.4 Cookie使用细节
Cookie存活时间:默认情况下,Cookie存储在浏览器内存中,当浏览器关闭,内存释放,则Cookie销毁。但在一些实际场景下,如一些登录界面的记住密码机制,明显地Cookie的存活时间可以更长,这是因为通过setMaxAge(int seconds)我们可以设置Cookie的存活时间。
- 正数:将Cookie写入浏览器所在电脑的磁盘,持久化存储。到时间自动删除
- 负数:默认值,Cookie在当前浏览器内存中,当浏览器关闭,则Cookie被销毁
- 零:删除对应Cookie
Cookie存储中文:Cookie不能直接存储中文;所以我们需要通过转码转成URL。具体方式是通过URLEncoder.encode()来转换并且存储;而当需要用到中文时,就可以通过URLDecoder.decode()来解码并且使用。
6.5 Session基本使用
引入:采用Cookie来存储数据在客户端中是十分不安全的;在某些不法网站中要是获取Cookie时顺带把你其他的Cookie也拿走了,这就相当于拿到了你的账号密码。
说明:使用Session可以在服务端存储数据;JavaEE提供HttpSession接口,来实现一次会话的多次请求间数据共享功能。
使用:
// 1.获取Session对象
HttpSession session = request.getSession();
// 2.使用Session对象
void setAttribute(String name,Object o)
Object getAttribute(String name)
void removeAttribute(String name)
步骤演示:
-
新建一个SessionDemo1类
package session; import javax.servlet.*; import javax.servlet.http.*; import javax.servlet.annotation.*; import java.io.IOException; @WebServlet("/demo1") public class SessionDemo1 extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // 1.获取Session对象 HttpSession session = request.getSession(); // 2.存储数据 session.setAttribute("username","zs"); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { } } -
新建一个SessionDemo2类
package session; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.*; import java.io.IOException; @WebServlet("/demo2") public class SessionDemo2 extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { HttpSession session = request.getSession(); Object username = session.getAttribute("username"); System.out.println(username); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { } } -
启动服务并查看控制台
6.6 Session原理
原理:Session是基于Cookie实现的;从上述的使用可知,如果想要通过Session来传递数据,则要保证session对象须保证是一个对象,而且还需保证是同一个客户端;在第一个Servlet创建Session对象时,会同时出现一个id属性作为该Session对象的唯一标识,而Tomcat会将该标识发送给浏览器作为cookie存储。当在第二个Servlet创建Session对象时,通过发来的Cookie,Tomcat会自动在内存中寻找是否存在通过id的Session对象,如果存在,则不再创建对象。
6.7 Session使用细节
钝化和活化:当服务器重启后,Session中的数据是存在的,但必须要求服务器是正常的重启,而非出现故障而意外关闭。可为何Session依然存在呢?Session对象明明存在于内存中。这是因为Session具有钝化特性,在服务器正常关闭后,Tomcat会自动将Session数据写入硬盘的文件中;而Session还具有活化特性,能够在重启服务器后,从文件中加载数据到Session中。
虽然Session对象在服务器正常重启仍然存在,但是浏览器在这个过程中是不能关闭的,因为Session本质上依赖于Cookie,一旦Cookie不存在了,Session对象也就不复存在了。
销毁:默认情况下如没有进行特殊操作,则30分钟后自动销毁Session对象,但我们也可以在webapp下的WEB-INF下的web.xml来添加配置标签。除此之外,如果想要立即销毁,也可以调用Session对象的invalidate方法。
<session-config>
<session-timeout>30</session-timeout>
</session-config>
6.8 小结
区别:
| 区别 | 说明 |
|---|---|
| 存储位置 | Cookie是将数据存储在客户端,Session将数据存储在服务端 |
| 安全性 | Cookie不安全,Session安全 |
| 数据大小 | Cookie最大3kb,Session无大小限制 |
| 存储时间 | Cookie可以长期存储,Session默认三十分钟 |
| 服务器性能 | Cookie不占服务器资源,Session占用服务器资源 |
418
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
