cookie和session详解

背景：http是一个无状态的协议，短连接（每次请求和响应都会新建连接及关闭连接）
注：http1.1提供了长连接

cookie概念

• 定义: cookies 是存储在客户端计算机上的文本文件，并保留了用户的各种跟踪信息
• 作用: 会话保持，如完成用户的登录与状态保持
• 使用场景：实现免登录（限制天数）
• 实现：将用户信息保存在客户端本地文件（和浏览器相关的本地路径下，保存用户信息到本地文件中），跟域名绑定用户信息cookie，之后访问某个域名时，浏览器自动从本地抓取该域名的cookie信息
  用户登录校验通过时，响应头携带Set-Cookie，告诉客户端，让浏览器自动设置Cookie到本地文件，每次请求浏览器自动携带Cookie头

cookie工作原理：

• 客户端向服务区发起登录请求
• 服务器脚本向浏览器发送一组 Cookies（Set-Cookie:XXX）。例如：姓名、年龄或识别号码等。
• 浏览器将这些信息存储在本地计算机上，以备将来使用。
• 当下一次浏览器向 Web 服务器发送任何请求时，浏览器会把这些 Cookies 信息发送到服务器(浏览器自动携带)，服务器将使用这些信息来识别用户。
• 

session概念

• 定义: session 是存储在服务器上的文本文件，并保留了用户的各种跟踪信息
• 作用: 会话保持，用来保持用户身份，如完成用户的登录与状态保持，因为在服务器端，所以相对安全一些，主要是解决需要登录的敏感资源访问问题
• 实现：通过服务器保存session信息
• 注意：session在会话结束（超时或注销）、服务器重启就消失

问题：客户端向服务端发送http请求，若是在返回时连接关闭，这时候就不知道之前登陆的用户是哪一个了

解决：引入会话(Session)
在服务端保存多个用户信息，类似于map<String,HttpSession>，String类似于用户身份证，HttpSession类似于用户要保存的信息，一个用户可以保存多个信息

cookie vs session

1. Cookie以文本文件格式存储在浏览器中，而session存储在服务端(比如登录场景，cookie只需要携带一些能识别用户身份信息，用户的具体信息存储在server中，浏览器访问时，server会生成session,并提供给浏览器一个唯一的能识别的sessionid,之后访问时可以在cookie中直接携带sessionID)
2. 因为每次发起 Http 请求，都要携带有效Cookie信息，所以Cookie一般都有大小限制，以防止增加网络压力,一般不超过4k
3. 可以轻松访问cookie值但是我们无法轻松访问会话值，因此session方案更安全
4.cookie 一般有大小限制的，4kb

---

用户在没有登陆时是没有cookie的，但是在发起登陆请求且登录成功后，服务器向浏览器发送cookie(Set-Cookie)，浏览器就保留其用户信息，当再次访问时（刷新时），会自动使用保留的cookie信息（自动携带Cookie头）去识别用户。

---

敏感资源验证：用户登陆后，会创建一个的随机字符串sessionid保存在服务器中并将其返回到浏览器,之后客户端发起的每次请求（刷新）浏览器都会携带该sessionid，但是当使用移除后，浏览器保留的sessionid消失，下次请求登录时又会自动设置一个sessionid。

每次请求都需要验证是不是敏感资源（获取session对象），通过验证session是否为空验证用户是否登录，如果是敏感资源（null），就需要登陆后访问

代码实现：

package org.example.servlet;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;

@WebServlet("/loginUseSession")
public class LoginUseSessionServlet extends HttpServlet {
    //重写方法  提供服务
    //注意get和post的区别

    /**
     * 每次http请求映射到某个Servlet的资源路径，都会调用service生命周期方法
     * 如果请求方法没有重写，就调用父类的doXX方法（对应的请求方法），返回405
     * 如果重写，会将请求数据包装为Request对象，这时候虽然还没有响应，但是也包装了一个Response响应对象
     */
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //设置响应请求，响应编码及响应数据类型（为响应体设置Content-Type数据类型）
        req.setCharacterEncoding("UTF-8"); //设置请求体编码
        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("text/html");

        //解析请求数据
        //req.getParameter()方法获取请求数据：url和请求体，数据格式为k1=v1&k2=v2
        String u = req.getParameter("username");
        String p = req.getParameter("password");
        System.out.printf("===================用户名(%s)  密码(%s) %n",u,p);

        //返回响应数据
        PrintWriter pw = resp.getWriter(); //response获取io输出流
        if("abc".equals(u) && "123".equals(p)) { //模拟数据库账号密码登录
            //获取session信息（从客户端获取jsessionid,在服务端map中找到session对象），如果获取不到，返回空，
            //如果获取到了，参数为true  如果获取不到，参数为false，服务端创建一个在返回
            HttpSession session = req.getSession(); //无参默认时true
            session.setAttribute("username",u);
            session.setAttribute("password",p);
            //真实操作时可以查询数据库用户信息,然后将其转换为一个用户对象
            //session.setAttribute("user",user);
            pw.println("登录成功");
            pw.println("<h3>欢迎您， " + u +"</h3>");
        } else {
            pw.println("用户名或密码错误！用户登录失败");
        }
        pw.flush(); //有缓冲的io操作，需要刷新缓冲区，才会真正的发送数据  缓冲刷新
        pw.close(); //io流操作完，一定要记得关闭资源

    }
}

package org.example.servlet;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;

//注解 后面一定要加上属性，属性名为value时可以不写
@WebServlet("/sen")
public class SensitiveServlet extends HttpServlet {
    //重写方法  提供服务
    //注意get和post的区别
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //设置响应请求，响应编码及响应数据类型（为响应体设置Content-Type数据类型）
        req.setCharacterEncoding("UTF-8"); //设置请求体编码
        resp.setCharacterEncoding("UTF-8");
        resp.setContentType("text/html");

        //返回响应数据
        PrintWriter pw = resp.getWriter(); //response获取io输出流
        HttpSession session = req.getSession(false);
        //每一个敏感资源，都获取session，通过是否为空验证用户是否登录,但是代码耦合性太高
        if (session == null) { //可以使用filter过滤器，统一处理敏感资源验证
            System.out.println("session为空");
            resp.setStatus(401); //没有登录，访问敏感资源，返回401，表示Unauthorized
            pw.println("敏感资源，需要登录后访问");
        } else {
            String username = (String) session.getAttribute("username");
            System.out.println("session存在，用户名为：" + username);
        }
        pw.flush(); //有缓冲的io操作，需要刷新缓冲区，才会真正的发送数据  缓冲刷新
        pw.close(); //io流操作完，一定要记得关闭资源

    }
}

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>登录</title>
</head>
<body>
    <hr> <!--分割线-->
    <form method="post" action="loginUseSession">
        <!--文本框 type="text"  name表示请求数据的键-->
        用户名: <input type="text" name="username"><br>
        密码: <input type="password" name="password"><br>
        <!--submit 提交按钮  button 普通按钮-->
        <input type="submit" value="登录"><br>
    </form>
    <hr>
</body>
</html>