Session和Cookie
在说Filter和Listener之前我们先来说说和它们有关的session和cookie。
什么是会话跟踪技术
会话跟踪是Web程序中常用的技术,用来跟踪用户的整个会话。保持对用户会话期间的数据管理。常用 的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份 Session通过在服务器端记录信息确定用户身份。
1.Cookie
1.什么是Cookie
Cookie是客户端(一般指浏览器)请求服务器后,服务器发给客户端的一个辨认标识,它会保存在客户端,当 客户端再次向服务器发送请求时,它会携带着这个辨认标识,服务器就可以通过这个标识来识别客户端的身份或 状态等。
Cookie的作用:
跟踪会话,记录一次会话中(即Session,一次会话可能会有多次请求,当然也可以有多 个Cookie来跟踪不同的信息)的信息,这样服务器就会知道用户的状态,比如有没有登录成功,付款时购物车 中的东西等,就相当于贴在客户端脑门上的纸条,浏览器看不到,但服务器看得到。
2.Cookie的应用
2.1 保持用户登录状态
将用户的信息保存到Cookie中,并发送给浏览器,并且将有效时间设置为一个较长的时间,这样浏览器 在以后访问网站时,都会带着该Cookie,服务器以此来辨识用户,用户就不再需要输入用户名和密码等 信息。(记住用户名以及密码)
2.2 记录用户名
一旦用户登录成功以后,下次再登录时,直接将Cookie中的用户名读取并显示出来,这样用户就不需要再次输入用户名,只输入密码即可。
3. Cookie的设置和获取
3.1 、通过HttpServletResponse.addCookie的方式设置Cookie
注意:new Cookie()时两个参数都是字符串
Cookie cookie = new Cookie("jieguo","true"); response.addCookie(cookie);
3.2、浏览器中查看cookie的内容
3.3、服务端获取客户端携带的cookie:通过HttpServletRequest获取
<%
Cookie[] cookies = request.getCookies(); if(cookies != null)
for(Cookie c : cookies){
String name = c.getName();//获取Cookie名称 if("jieguo".equals(name)){
String value = c.getValue();//获取Cookie的值
bool = Boolean.valueOf(value);//将值转为Boolean类型
}
}
%>
4.删除Cookie
通过设置同名Cookie的最大存活时间为0,删除Cookie是指使浏览器不再保存Cookie,使Cookie立即失 效
举例:使name为username的Cookie立即失效
//1.创建一个name为username的Cookie
Cookie cookie = new Cookie("username", "aaa");
//2.设置Cookie的有效时间为0
cookie.setMaxAge(0);//删除cookie的关键
//3.将cookie发送给浏览器,来替换同名Cookie
response.addCookie(cookie);
Cookie的有效时间
Cookie发送给浏览器以后,浏览器并不会永久保存,也就是到了一定的时间以后浏览器会自动销毁 Cookie。Cookie的默认有效时间为一次会话(一次打开关闭浏览器的过程),我们也可以手动指定Cookie 的有效时间
//setMaxAge用来设置Cookie的最大有效时间,需要int型的参数,代表有效的秒数
cookie.setMaxAge(秒数);
//当参数大于0时,会设置为指定的秒数
cookie.setMaxAge(30);
//当参数等于0时,浏览器不会保存Cookie,Cookie立即失效
cookie.setMaxAge(0);
//当参数小于0时,和不设置是一样,当前会话有效
cookie.setMaxAge(-100);
//设置一个永久有效的Cookie,并非永久,只是使Cookie的生命很长而已
cookie.setMaxAge(60*60*24*365*10);
Session
1.什么是Session
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务
器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是
Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查 服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来 访的时候只需要查询客户档案表就可以了。
2.创建Session的格式
Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象,所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。
Session也是一种key-value的属性对,通过getAttribute(Stringkey)和 setAttribute(String key,Objectvalue)方法读写客户状态信息。Servlet里通过 request.getSession()方法获取该客户的 Session
例如:
HttpSession session = request.getSession(); // 获取Session对象
session.setAttribute("loginTime", new Date()); // 设置Session中的属性
out.println("登录时间为:" +(Date)session.getAttribute("loginTime")); // 获取
Session属性
3.Session的生命周期
Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会 有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因 此,Session里的信息应该尽量精简。
Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建 Session,只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session,也可以使 request.getSession(true)强制生成Session。
Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户 每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。
由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间 内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服 务器,Session就自动失效了。
Session的超时时间为maxInactiveInterval属性,可以通过对应的getMaxInactiveInterval()获取,通过 setMaxInactiveInterval(longinterval)修改。
Session的超时时间也可以在web.xml中修改。另外,通过调用Session的invalidate()方法可以使 Session失效。
<session-config>
<session-timeout>30</session-timeout>
</session-config>
4.Session常用的方法
方 法 名 | 描 述 |
void setAttribute(String attribute, Object value) | 设置Session属性。value参数可以为任何Java Object。通常为Java Bean。value信息不宜过大 |
String getAttribute(String attribute) | 返回Session属性 |
Enumeration getAttributeNames() | 返回Session中存在的属性名 |
void removeAttribute(String attribute) | 移除Session属性 |
String getId() | 返回Session的ID。该ID由服务器自动创建,不会重复 |
long getCreationTime() | 返回Session的创建日期。返回类型为long,常被转化为Date类 型,例如:Date createTime = new Date(session.get CreationTime()) |
long getLastAccessedTime() | 返回Session的最后活跃时间。返回类型为long |
int getMaxInactiveInterval() | 返回Session的超时时间。单位为秒。超过该时间没有访问,服务 器认为该Session失效 |
void setMaxInactiveInterval(int second) | 设置Session的超时时间。单位为秒 |
boolean isNew() | 返回该Session是否是新创建的 |
void invalidate() | 使该Session失效 |
5.Session和Cookie的区别
1. 存储位置
-
Session:数据存储在服务器端。服务器为每个用户会话创建一个Session对象,并通过Session ID来标识和管理会话数据。
-
Cookie:数据存储在客户端,即用户的浏览器中。服务器通过HTTP响应将Cookie发送到客户端,客户端在后续请求中会自动携带这些Cookie数据。
2. 生命周期
-
Session:默认情况下,Session的生命周期从用户首次访问服务器到用户关闭浏览器或Session超时(由服务器设置的超时时间)为止。即使浏览器没有关闭,如果用户长时间没有活动,Session也可能因超时而失效。
-
Cookie:Cookie的生命周期可以由开发者指定,通过设置
max-age
或expires
属性。如果不设置这些属性,Cookie会在浏览器关闭时失效;如果设置了过期时间,Cookie将会在指定的时间之后自动失效。
3. 安全性
-
Session:相对安全,因为数据存储在服务器端,不容易被用户直接篡改。客户端只保存一个Session ID,用于识别会话,因此敏感数据不会暴露给用户。
-
Cookie:安全性较低,因为数据存储在客户端,容易被用户查看、篡改或通过网络监听。为了提高安全性,可以将Cookie设置为
HttpOnly
(防止JavaScript访问)和Secure
(仅通过HTTPS传输)。
4. 使用场景
-
Session:适用于存储用户的敏感数据或较大数据,如用户登录状态、购物车信息、临时用户设置等。因为Session数据存储在服务器端,可以在会话期间保持一致性和安全性。
-
Cookie:适用于存储小而非敏感的数据,如用户偏好设置(如语言选择、主题颜色)或Session ID。Cookie也常用于实现“记住我”功能,将用户登录信息保存在客户端。
5. 性能影响
-
Session:会在服务器上占用内存或存储资源,随着并发用户的增加,可能会增加服务器的负载。因此,需要合理管理Session的生命周期和大小。
-
Cookie:不会占用服务器资源,但会增加客户端和服务器之间的请求和响应体积,尤其是当Cookie较大或数量较多时,会影响网络传输效率。
6. 传输机制
-
Session:Session ID通常是通过Cookie传输的(默认方式),但也可以通过URL重写等其他方式传输。
-
Cookie:通过HTTP头部传输,在每次请求和响应中都会自动携带。
小结
- Session适合处理需要在服务器端进行管理和保护的数据,具有更高的安全性和更丰富的功能支持。
- Cookie适合存储简单的客户端状态信息,但需要注意安全性问题,尤其是在处理敏感数据时。
两者常常结合使用,Session通过Cookie存储Session ID来实现会话管理,同时Cookie可以直接用于一些轻量级的客户端数据存储需求。