Cookies与Session会话技术详解

心存留恋就不会幸福

已于 2023-02-22 11:16:13 修改

阅读量504

点赞数

分类专栏： Coding_通用JAVA 文章标签： java servlet

于 2023-02-21 18:40:36 首次发布

本文链接：https://blog.csdn.net/hachi_rt/article/details/129137032

版权

Coding_通用JAVA 专栏收录该内容

20 篇文章 1 订阅

订阅专栏

文章详细介绍了Web应用中会话管理的两种主要技术——Cookie和Session。Cookie将数据存储在客户端，有大小和数量限制，而Session将数据保存在服务器端，解决了Cookie的某些局限性。文章通过示例代码阐述了Cookie和Session的创建、设置、获取和管理过程，以及它们的工作原理和细节，如有效期、路径设置等。

摘要由CSDN通过智能技术生成

引言:日常生活中，人和人之间沟通交流，涉及到一个词----会话，软件中一样存在会话，如：网购登录，访问公司OA系统也是不断的会话，软件中如何管理浏览器客户端和服务端之间会话过程中的会话数据呢？

一、域

域对象是实现资源之间的数据共享。

context.setAttribute("name","zhangsan")；
request.setAttribute("name","zhangsan")；

问题：

1.context域是所有用户公有的资源，会覆盖数据。

2.request一定要使用转发技术来跳转页面，重定向等就从request域取不到值。

解决办法：使用session域保存会话数据！

二、会话技术

Cookie技术：会话数据保存在浏览器客户端。

Session技术：会话数据保存在服务器端(HttpSession session域)。

三、Cookie

3.1 特点

会话数据保存在浏览器客户端。

3.2 Cookie技术核心

Cookie类：用于存储会话数据

1）构造Cookie对象

new Cookie(java.lang.String name, java.lang.String value)

2）设置cookie

void setPath(java.lang.String uri) ：设置cookie的有效访问路径

void setMaxAge(int expiry) ：设置cookie的有效时间

void setValue(java.lang.String newValue) ：设置cookie的值

3）发送cookie到浏览器端保存

void response.addCookie(Cookie cookie) : 发送cookie

4）服务器接收cookie

Cookie[] request.getCookies() : 接收cookie

3.3 Cookie原理

服务器创建cookie对象，把会话数据存储到cookie对象中。

Cookie cookie = new Cookie("name","value");

2）服务器发送cookie信息到浏览器

response.addCookie(cookie);

如：

set-cookie: names=eric  (隐藏发送了一个set-cookie名称的响应头)
=response.setHeader("set-cookie",cookie.getName()+"="+cookie.getValue()+",email=eric@qq.com");

3）浏览器得到服务器发送的cookie，然后保存在浏览器端。

4）浏览器在下次访问服务器时，会带着cookie信息,举例：

cookie: names=eric (隐藏带着一个叫cookie名称的请求头)

5）服务器接收到浏览器带来的cookie信息

request.getCookies();

String name = request.getHeader("cookie"); //等同这个的封装简化

3.4 Cookie的细节

1）void setPath(java.lang.String uri) ：uri为访问路径，如/project-demo。设置cookie的有效访问路径。有效路径指的是cookie的有效路径保存在哪里，那么浏览器在有效路径下访问服务器时就会带着cookie信息，否则不带cookie信息。

2）void setMaxAge(int expiry) ：设置cookie的有效时间。

正整数：表示cookie数据保存浏览器的缓存目录（硬盘中），数值表示保存的时间。

负整数：表示cookie数据保存浏览器的内存中。浏览器关闭cookie就丢失了！！(默认负数)

零：表示删除同名的cookie数据。

3）Cookie数据类型只能保存非中文字符串类型的。可以保存多个cookie，但是浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB。

四、Session

4.1 引入

Cookie的局限：

1）Cookie只能存字符串类型。不能保存对象

2）只能存非中文。

3）1个Cookie的容量不超过4KB。

如果要保存非字符串，超过4kb内容，只能使用session技术！！！

Session特点：会话数据保存在服务器端。（内存中）

4.2 Session技术核心

HttpSession类：用于保存会话数据。

1）创建或得到session对象

HttpSession getSession();

HttpSession getSession(boolean create);

2）设置session对象

void setMaxInactiveInterval(int interval) ：设置session的有效时间

void invalidate() ：销毁session对象

java.lang.String getId() ：得到session编号

3）保存会话数据到session对象

void setAttribute(java.lang.String name, java.lang.Object value) ：保存数据

java.lang.Object getAttribute(java.lang.String name) ：获取数据

void removeAttribute(java.lang.String name) ：清除数据

4.3 Session原理

问题：服务器能够识别不同的浏览者！！！

现象-前提：在哪个session域对象保存数据，就必须从哪个域对象取出！！！！

浏览器1：(给s1分配一个唯一的标记：s001,把s001发送给浏览器)

1）创建session对象，保存会话数据

HttpSession session = request.getSession(); --保存会话数据 s1

浏览器1 的新窗口（带着s001的标记到服务器查询，s001->s1,返回s1）

2）得到session对象的会话数据

HttpSession session = request.getSession(); --可以取出 s1

新的浏览器1：(没有带s001,不能返回s1)

3）得到session对象的会话数据

HttpSession session = request.getSession(); --不可以取出创建s2

代码解读：

HttpSession session = request.getSession();

既是创建session也是获取session。

过程分析：

1）第一次访问创建session对象，给session对象分配一个唯一的ID，叫JSESSIONID;

new HttpSession();

2）把JSESSIONID作为Cookie的值发送给浏览器保存;

Cookie cookie = new Cookie("JSESSIONID", sessionID);

response.addCookie(cookie); //set-cookie: JSESSIONID=sessionID

3）第二次访问的时候，浏览器带着JSESSIONID的cookie访问服务器;

4）服务器得到JSESSIONID，在服务器的内存中搜索是否存放对应编号的session对象。

if(找到SESSIONID){

return map.get(sessionID);

}

return session.getSession();

5）如果找到对应编号的session对象，直接返回该对象

6）如果找不到对应编号的session对象，创建新的session对象，继续走1的流程

结论：通过JSESSION的cookie值在服务器找session对象！！！！！

4.4 Session细节

1）java.lang.String getId() ：得到session编号

2）两个getSession方法：

getSession(true) / getSession() :

创建或得到session对象。没有匹配的session编号，自动创建新的session对象。

getSession(false):

得到session对象。没有匹配的session编号，返回null

3）void setMaxInactiveInterval(int interval) ：设置session的有效时间

session对象销毁时间：

3.1 默认情况30分服务器自动回收 ;

3.2 修改session回收时间;

3.3 全局修改session有效时间.

<session-config>

<session-timeout>1</session-timeout>

</session-config>

3.4.手动销毁session对象

void invalidate() ：销毁session对象

4）如何避免浏览器的JSESSIONID的cookie随着浏览器关闭而丢失的问题.

session本质还是cookie,cookie的默认有效设置的负数,浏览器关闭cookie消失,就算session默认的有效时间是30分钟,仍然有关闭浏览器,session就消失的假象.

五、总结

1）会话管理

浏览器和服务器会话过程中的产生的会话数据的管理。

2）Cookie技术

new Cookie("name","value")

response.addCookie(coookie)

request.getCookies();

3）Session技术

request.getSession();

setAttribute ("name","会话数据");

getAttribute("会话数据")

总结就是:session本质是一个cookie,浏览器和服务器通过new Cookie("JSESSIONID",session.getId());传递.session.setAttribute(name.value)的值保存在服务器上,浏览器可以通过session.getId()来获得session对象,然后getAttribute("name")来获得会话数据.Cookie: JSESSIONID=022757E445720AB3A5C71FA36837557E 请求行或者响应行的信息.