背景:http是一个无状态的协议,短连接(每次请求和响应都会新建连接及关闭连接)
注:http1.1提供了长连接
cookie概念
- 定义: cookies 是存储在客户端计算机上的文本文件,并保留了用户的各种跟踪信息
- 作用: 会话保持,如完成用户的登录与状态保持
- 使用场景:实现免登录(限制天数)
- 实现:将用户信息保存在客户端本地文件(和浏览器相关的本地路径下,保存用户信息到本地文件中),跟域名绑定用户信息cookie,之后访问某个域名时,浏览器自动从本地抓取该域名的cookie信息
用户登录校验通过时,响应头携带Set-Cookie,告诉客户端,让浏览器自动设置Cookie到本地文件,每次请求浏览器自动携带Cookie头
cookie工作原理:
- 客户端向服务区发起登录请求
- 服务器脚本向浏览器发送一组 Cookies(Set-Cookie:XXX)。例如:姓名、年龄或识别号码等。
- 浏览器将这些信息存储在本地计算机上,以备将来使用。
- 当下一次浏览器向 Web 服务器发送任何请求时,浏览器会把这些 Cookies 信息发送到服务器(浏览器自动携带),服务器将使用这些信息来识别用户。
session概念
- 定义: session 是存储在服务器上的文本文件,并保留了用户的各种跟踪信息
- 作用: 会话保持,用来保持用户身份,如完成用户的登录与状态保持,因为在服务器端,所以相对安全一些,主要是解决需要登录的敏感资源访问问题
- 实现:通过服务器保存session信息
- 注意:session在会话结束(超时或注销)、服务器重启就消失
问题:客户端向服务端发送http请求,若是在返回时连接关闭,这时候就不知道之前登陆的用户是哪一个了
解决:引入会话(Session)
在服务端保存多个用户信息,类似于map<String,HttpSession>,String类似于用户身份证,HttpSession类似于用户要保存的信息,一个用户可以保存多个信息
cookie vs session
1. Cookie以文本文件格式存储在浏览器中,而session存储在服务端(比如登录场景,cookie只需要携带一些能识别用户身份信息,用户的具体信息存储在server中,浏览器访问时,server会生成session,并提供给浏览器一个唯一的能识别的sessionid,之后访问时可以在cookie中直接携带sessionID)
2. 因为每次发起 Http 请求,都要携带有效Cookie信息,所以Cookie一般都有大小限制,以防止增加网络压力,一般不超过4k
3. 可以轻松访问cookie值但是我们无法轻松访问会话值,因此session方案更安全
4.cookie 一般有大小限制的,4kb
用户在没有登陆时是没有cookie的,但是在发起登陆请求且登录成功后,服务器向浏览器发送cookie(Set-Cookie),浏览器就保留其用户信息,当再次访问时(刷新时),会自动使用保留的cookie信息(自动携带Cookie头)去识别用户。
敏感资源验证:用户登陆后,会创建一个的随机字符串sessionid保存在服务器中并将其返回到浏览器,之后客户端发起的每次请求(刷新)浏览器都会携带该sessionid,但是当使用移除后,浏览器保留的sessionid消失,下次请求登录时又会自动设置一个sessionid。
每次请求都需要验证是不是敏感资源(获取session对象),通过验证session是否为空验证用户是否登录,如果是敏感资源(null),就需要登陆后访问
代码实现:
package org.example.servlet;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet("/loginUseSession")
public class LoginUseSessionServlet extends HttpServlet {
//重写方法 提供服务
//注意get和post的区别
/**
* 每次http请求映射到某个Servlet的资源路径,都会调用service生命周期方法
* 如果请求方法没有重写,就调用父类的doXX方法(对应的请求方法),返回405
* 如果重写,会将请求数据包装为Request对象,这时候虽然还没有响应,但是也包装了一个Response响应对象
*/
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//设置响应请求,响应编码及响应数据类型(为响应体设置Content-Type数据类型)
req.setCharacterEncoding("UTF-8"); //设置请求体编码
resp.setCharacterEncoding("UTF-8");
resp.setContentType("text/html");
//解析请求数据
//req.getParameter()方法获取请求数据:url和请求体,数据格式为k1=v1&k2=v2
String u = req.getParameter("username");
String p = req.getParameter("password");
System.out.printf("===================用户名(%s) 密码(%s) %n",u,p);
//返回响应数据
PrintWriter pw = resp.getWriter(); //response获取io输出流
if("abc".equals(u) && "123".equals(p)) { //模拟数据库账号密码登录
//获取session信息(从客户端获取jsessionid,在服务端map中找到session对象),如果获取不到,返回空,
//如果获取到了,参数为true 如果获取不到,参数为false,服务端创建一个在返回
HttpSession session = req.getSession(); //无参默认时true
session.setAttribute("username",u);
session.setAttribute("password",p);
//真实操作时可以查询数据库用户信息,然后将其转换为一个用户对象
//session.setAttribute("user",user);
pw.println("登录成功");
pw.println("<h3>欢迎您, " + u +"</h3>");
} else {
pw.println("用户名或密码错误!用户登录失败");
}
pw.flush(); //有缓冲的io操作,需要刷新缓冲区,才会真正的发送数据 缓冲刷新
pw.close(); //io流操作完,一定要记得关闭资源
}
}
package org.example.servlet;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
//注解 后面一定要加上属性,属性名为value时可以不写
@WebServlet("/sen")
public class SensitiveServlet extends HttpServlet {
//重写方法 提供服务
//注意get和post的区别
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//设置响应请求,响应编码及响应数据类型(为响应体设置Content-Type数据类型)
req.setCharacterEncoding("UTF-8"); //设置请求体编码
resp.setCharacterEncoding("UTF-8");
resp.setContentType("text/html");
//返回响应数据
PrintWriter pw = resp.getWriter(); //response获取io输出流
HttpSession session = req.getSession(false);
//每一个敏感资源,都获取session,通过是否为空验证用户是否登录,但是代码耦合性太高
if (session == null) { //可以使用filter过滤器,统一处理敏感资源验证
System.out.println("session为空");
resp.setStatus(401); //没有登录,访问敏感资源,返回401,表示Unauthorized
pw.println("敏感资源,需要登录后访问");
} else {
String username = (String) session.getAttribute("username");
System.out.println("session存在,用户名为:" + username);
}
pw.flush(); //有缓冲的io操作,需要刷新缓冲区,才会真正的发送数据 缓冲刷新
pw.close(); //io流操作完,一定要记得关闭资源
}
}
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登录</title>
</head>
<body>
<hr> <!--分割线-->
<form method="post" action="loginUseSession">
<!--文本框 type="text" name表示请求数据的键-->
用户名: <input type="text" name="username"><br>
密码: <input type="password" name="password"><br>
<!--submit 提交按钮 button 普通按钮-->
<input type="submit" value="登录"><br>
</form>
<hr>
</body>
</html>