（JavaEE-06）Session与Cookie

Session和Cookie对象

Session和Cookie主要使用在会话管理中。

会话

什么是会话？

简单来说，用户打开一个浏览器，点击多个链接，访问服务器的多个web资源，然后关闭浏览器，整个过程称之为一个会话。
会话指得是一段时间内，客户端与服务器进行了连续的通讯，而http协议是无状态的，那么服务器是如何识别请求的呢？答案就是Session与Cookie对象。

会话解决的问题

• 每个用户在使用浏览器与服务器进行会话的过程中，不可避免得会各自产生一些数据，程序要想办法为每个用户保存这些数据，比如：用户点击超链接访 问一个Servlet购买了一件产品，我们应该将该用户购买的产品保存起来，后续当用户再次点击另一个超链接访问一个结账Servlet的时候能使用之前 购买的产品。（购物车）

• 思路：保存在request中或者ServletContext中

request不太现实，因为每次请求都是独立的，ServletContext还是有希望的，但是分析后发现，也是不行的，会发生冲突问题。因 为ServletContext被所有Servlet共享。我们发现，如果有一个域对象，它没有request那么独立，也没有 ServletContext那么公用，而是在一定范围内的共享，这个范围就是一个用户与服务器的一段时间的通讯（打开浏览器，多次访问服务器，关闭浏览 器）。

保存会话数据的两种技术

Cookie

• Cookie是客户端技术，程序把每个用户的数据以Cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器的web资源时，就会携带各自的数据去访问。这样，web资源就能这对不同的用户进行处理了。

Session

• Session是服务端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的Session对象，由于Session被用户的浏览器独享,所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问服务器中的其它资源时，其它web资源再从用户各自的Session中取出数据为用户服务。

从图中可以清楚得看到，每个客户端在服务器都有与之对应的Session对象为其存储数据。

Cookie API

javax.servlet.http.Cookie类用于创建一个Cookie，response接口也中定义了一个addCookie方法，它 用于在其响应头中增加一个相应的Set-Cookie头字段。 同样，request接口中也定义了一个getCookies方法，它用于获取客户端提交的Cookie。
Cookie类的方法：

• public Cookie(String name,String value)

• setValue与getValue方法，设置Cookie的值

• setMaxAge与getMaxAge方法，设置Cookie的有效期，默认的有效期是会话范围的，会话结束，Cookie结束（存在缓存中）

• setPath与getPath方法，设置Cookie的有效目录，例如：/demo，那么访问demo目录下的所有web资源，都会携带Cookie。默认有效目录，当前创建Cookie的程序的目录

• setDomain与getDomain方法，设置Cookie的有效域，例如： .sina.com，前面有点。这个方法实际用处不大，浏览器会阻止第三方Cookie，只识别本域中的Cookie

• getName方法，获取Cookie的名称

Cookie简单应用：显示用户上次访问时间。

浏览器允许每个域名所包含的Cookie数量：

• Microsoft指出InternetExplorer8增加cookie限制为每个域名50个，但IE7似乎也允许每个域名50个cookie。

• Firefox每个域名cookie限制为50个。

• Opera每个域名cookie限制为30个。

• Safari/WebKit貌似没有cookie限制。但是如果cookie很多，则会使header大小超过服务器的处理的限制，会导致错误发生。

当很多的cookie被设置，浏览器如何去处理

• Safari（可以设置全部cookie，不管数量多少）

• 当Cookie已达到限额，自动踢除最老的Cookie，以使给最新的Cookie一些空间。Internet Explorer和Opera使用此方法。

• Firefox很独特：虽然最后的设置的Cookie始终保留，但似乎随机决定哪些cookie被保留。似乎没有任何计划（建议：在Firefox中不要超过Cookie限制）。

不同浏览器间cookie总大小也不同

• Firefox和Safari允许cookie多达4097个字节，包括名（name）、值（value）和等号。

• Opera允许cookie多达4096个字节，包括：名（name）、值（value）和等号。

• Internet Explorer允许cookie多达4095个字节，包括：名（name）、值（value）和等号。

• 注：多字节字符计算为两个字节。在所有浏览器中，任何cookie大小超过限制都被忽略，且永远不会被设置。

Cookie的细节

• 一个Cookie只能标识一种信息，它至少含有一个标识该信息的名称（name）和设置的值（value）

• 一个web站点可以给一个web浏览器发送多个Cookie，一个web浏览器也可以存储多个web站点提供的Cookie

• 如果创建了一个Cookie，并将它发送到浏览器,默认情况下它是一个会话级别的Cookie（存储在浏览器的内存中），用户退出浏览器之后就 被删除。如果希望浏览器将该Cookie存储在硬盘上，则需要使用maxAge，并给出一个以秒做单位的时间。将最大时效设置为0，则是命令浏览器删除该 Cookie。

• 注意，删除Cookie时，path必须一致，否则不会删除

Cookie应用：显示用户上次浏览过的商品（注意的点：列表的个数，列表的排序，再次浏览已有商品后的排序）

1	> * 两个Servlet，一个是查看所有商品的Servlet（显示所有商品，显示已经浏览过的商品）

2	> * 一个是显示商品的详情，并且把已经看过的商品加入Cookie

Session

• 在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默 认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可 以从用户的session中取出该用户的数据，为用户服务。

• Session和Cookie的主要区别在于

  • Cookie是把用户的数据写给用户的浏览器

  • Session技术把用户的数据写到用户独占的session中

• Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象

  • 使用Session实现简单购物功能（注意重复添加商品的问题，使用重定向来处理）

• 由于实际用户的需求，还需要做进一步处理（用户不小心关闭了浏览器，数据丢失、开多个浏览器购买）

Session实现原理

Session的原理非常简单，Session的实现借助了Cookie，每次在服务器创建一个Session，同时这个Session就会有一个 SessionID，在响应时，这个ID会以Cookie的形式返回给浏览器，浏览器下次再访问web服务器时，会带上这个Cookie。在服务端，根据 Cookie中的ID就可以找到对应的Session，从而实现服务端的会话。

多浏览器共享Session

对于同一个浏览器来说，新开窗口就相当于新开启了会话（不同浏览器支持效果不一样），为了方便用户操作，可以实现Session的多浏览器共享（同一个浏览器）

原因是因为Cookie是会话级别的，解决很简单，覆盖以前的Cookie，设置maxAge
Session中存储的对象需要序列化

禁用Cookie后实现Session共享

如果客户端禁用了Cookie，这个时候用户每次访问都会获取一个全新的Session，就失去了会话的意义，这个时候可以使用URL重写技术来处理。

URL重写
response. encodeRedirectURL(java.lang.String url)，response. encodeURL(java.lang.String url)
URL会自动检测客户端是否禁用Cookie

Session失效

Session默认有效时间为30分钟，手动可以配置和修改这个时限。

配置web.xml
手动杀死Session

Session案例

• Session实现登录验证

• Session实现一次性验证码（response验证码）

• 表单的重复提交

• 在客户端防止表单重复提交（让提交失效、按钮只能点击一次）

• 在服务端防止表单重复提交（表单必须是动态由程序产生，表单中携带随机数；令牌）

• 令牌可以设计成一个单独的类（单例），负责产生随机数（毫秒数+随机数，这样产生的随机数长度有可能不一致，可以使用数据指纹，MD5算法（数据摘要，不可逆），MD5常用于密码的保存、文件校验码）

• MD5码的生成，可以使用Java中的MessageDigest类来实现

  01

  //产生一个随机数

  02	String token = System.currentTimeMillis() + "" + new Random().nextInt(99999);

  03	//获得一个信息摘要对象，指定使用MD5算法来处理

  04	MessageDigest messageDigest = MessageDigest.getInstance("md5");

  05	//获取根据MD5算法处理的结果字节数组

  06	//该数据将是一个128位的数据，一共128位，相当于16个字节，而这16个字节中表示的数字，在UTF-8码表中很有可能是没有的

  07	byte[] md5 = messageDigest.digest(token.getBytes("UTF-8"));

  08	//将字节数据转换成字符输出

  09	//String s = new String(md5,"UTF-8");

  10	//这里将出现乱码，因为数字不在UTF-8的范围中

  11	//System.out.println(s);

  12

  13	//使用base64来将md5数据明文化

  14	BASE64Encoder encoder = new BASE64Encoder();

  15	String s = encoder.encode(md5);

  16	System.out.println(s);

• 要想让MD5的数据成为明文，需要使用base64编码（网络传输常用的编码）来完成，base64生成的各种可以认识的字母

• base64原理：base64的原理很简单，它将三字节的书变成4个字节。三个字节一共24个二进制位，变成四个字节，那么每个字节 只有6个二进制位，然后使用“0”来填补最高的两个二进制位，这样的话，每个字节的范围就是(00000000-00111111)，0到63，一共64 个数，然后有一张码表，一共就64个字符，这64个字符都是明文。

存储域的选择

能存小域不要用大域
一次请求产生的数据就这次用，使用Request
一次请求产生的数据过一会还要用，使用Session
一次请求产生的数据不但过一会要用，而且别处还要用，使用ServletContext

转载于:https://my.oschina.net/u/1048681/blog/288414