session和cookie机制_session+cookie机制-CSDN博客

本文链接：https://blog.csdn.net/m0_61028090/article/details/134000177

2023.10.23

域对象

先总结一下到目前位置我所了解的域对象：

request（对应的类名：HttpServletRequest）
- 请求域（请求级别的）
session（对应的类名：HttpSession）
- 会话域（用户级别的）
application（对应的类名：ServletContext）
- 应用域（项目级别的，所有用户共享的。）
这三个域对象的大小关系
- request < session < application
他们三个域对象都有以下三个公共的方法：
- setAttribute（向域当中绑定数据）
- getAttribute（从域当中获取数据）
- removeAttribute（删除域当中的数据）
使用原则：尽量使用小的域。

Session

什么是session？

session在网络应用中称为“会话控制”，是服务器为了保存用户状态而创建的一个特殊的对象。简而言之，session就是一个对象，用于存储信息。

session对象是存储在服务器端的
一个session对象对应一个对话
一个对话包含多次请求

session如何获取？

HttpSession session = request.getSession();

该行代码能从服务器中获取当前的session对象，若没有获取到任何session对象，则新建一个。

HttpSession session = request.getSession(false);

该行代码能从服务器中获取当前的session对象，若没有获取到任何session对象，则返回null。

为什么需要session对象来保存会话状态？

因为HTTP协议是一种无状态协议。（无状态：请求的时候，浏览器和服务器是连接的，但是请求结束之后，连接就断了。之所以这样设计是为了减少服务器的压力）

session对象的实现原理

在web服务器中有一个session列表。类似于map集合。这个map集合的key存储的是sessionid，这个map集合的value存储的是对应的session对象。

用户发送第一次请求的时候:服务器会创建一个新的session对象，同时给session对象生成一个id，然后web服务器会将session的id发送给浏览器，浏览器将session的id保存在浏览器的缓存中。

用户发送第二次请求的时候:会自动将浏览器缓存中的sessionid自动发送给服务器，服务器获取到sessionid,然后从session列表中查找到对应的session对象。

为什么关闭浏览器会话就结束了？

关闭浏览器之后，浏览器中保存的sessionid消失，下次重新打开浏览器之后，浏览器缓存中没有这个sessionid，自然找不到服务器中对应的session对象，所以此时相当于会话结束了。

但是服务器并不知道你关闭了浏览器，所以此时session对象可能仍然存在于服务器中，此时session对象的销毁需要依靠session的超时机制。还有一种可能，系统提供了“安全退出”选项，点了这个按钮，服务器就知道你退出了，然后服务器就会销毁session对象。

Cookie禁用了，session还能找到吗？

cookie禁用是什么意思？服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。此时session就找不到了，每一次请求都会获取到新的session对象。

cookie禁用了，session机制还是可以实现的。需要使用URL重写机制，如：

在url后面手动添加sessionid。

Cookie

cookie和session机制其实都是为了保存会话的状态。

session的实现原理中，每一个session对象都会关联一个sessionid。例如：JSESSIONID=41C481F0224664BDB28E95081D23D5B8。

以上的这个键值对数据就是cookie对象。对于session关联的cookie来说，这个cookie是被保存在浏览器的“运行内存”当中。只要浏览器不关闭，用户再次发送请求的时候，会自动将运行内存中的cookie发送给服务器。服务器就是根据Cookie中的JSESSIONID来找到对应的session对象的。

cookie保存在什么地方？

cookie最终是保存在浏览器客户端上的。既可以保存在运行内存中。（浏览器只要关闭cookie就消失了）也可以保存在硬盘文件中。（永久保存）

cookie的经典案例

1、京东商城在未登录的情况下，向购物车中放几件商品。然后关闭商城，再次打开浏览器，访问京东商城的时候，购物车中的商品还在，这是怎么做到的？我没有登录，为什么购物车中还有商品？

将购物车中的商品编号放到cookie当中，cookie保存在硬盘文件当中。这样即使关闭浏览器。硬盘上的cookie还在。下一次再打开京东商城的时候，查看购物车的时候，会自动读取本地硬盘中存储的cookie，拿到商品编号，动态展示购物车中的商品。
- 京东存储购物车中商品的cookie可能是这样的：productIds=xxxxx,yyyy,zzz,kkkk
- 注意：cookie如果清除掉，购物车中的商品就消失了。

2、126邮箱中有一个功能：十天内免登录。该功能是如何实现的？

用户输入正确的用户名和密码，并且同时选择十天内免登录。登录成功后。浏览器客户端会保存一个cookie，这个cookie中保存了用户名和密码等信息，这个cookie是保存在硬盘文件当中的，十天有效。在十天内用户再次访问126的时候，浏览器自动提交126的关联的cookie给服务器，服务器接收到cookie之后，获取用户名和密码，验证，通过之后，自动登录成功。
怎么让cookie失效？
- 十天过后自动失效。
- 或者改密码。
- 或者在客户端浏览器上清除cookie。

cookie机制和session机制其实都不属于java中的机制，实际上cookie机制和session机制都是HTTP协议的一部分。php开发中也有cookie和session机制，只要是你是做web开发，不管是什么编程语言，cookie和session机制都是需要的。

HTTP协议中规定：任何一个cookie都是由name和value组成的。name和value都是字符串类型的。

java的servlet对cookie提供了哪些支持？

提供了一个Cookie类来专门表示cookie数据。jakarta.servlet.http.Cookie;
java程序怎么把cookie数据发送给浏览器呢？response.addCookie(cookie);

在HTTP协议中是这样规定的：当浏览器发送请求的时候，会自动携带该path下的cookie数据给服务器。即访问不同路径对应的cookie数据不一样，比如访问京东会携带京东的cookie，访问淘宝会携带淘宝的cookie。

关于cookie的有效时间设置

怎么用java设置cookie的有效时间
- cookie.setMaxAge(60 * 60); 设置cookie在一小时之后失效。
没有设置有效时间：默认保存在浏览器的运行内存中，浏览器关闭则cookie消失。
只要设置cookie的有效时间 > 0，这个cookie一定会存储到硬盘文件当中。
设置cookie的有效时间 = 0 呢？
- cookie被删除，同名cookie被删除。
设置cookie的有效时间 < 0 呢？
- 保存在运行内存中。和不设置有效时间一个效果。

浏览器发送cookie给服务器了，服务器中的java程序怎么接收？

Cookie[] cookies = request.getCookies(); // 这个方法可能返回null
if(cookies != null){
    for(Cookie cookie : cookies){
        // 获取cookie的name
        String name = cookie.getName();
        // 获取cookie的value
        String value = cookie.getValue();
    }
}