1.Session与Cookie的区别
保存的位置不同
cookie
保存在浏览器端,session
保存在服务端。
使用方式不同
cookie
如果在浏览器端对cookie进行设置对应的时间,则cookie
保存在本地硬盘中,此时如果没有过期,则就可以使用,如果过期则就删除。如果没有对cookie
设置时间,则默认关闭浏览器,则cookie就会删除。
session:我们在请求中,如果发送的请求中存在sessionId,则就会找到对应的session对象,如果不存在sessionId,则在服务器端就会创建一个session对象,并且将sessionId返回给浏览器,可以将其放到cookie中,进行传输,如果浏览器不支持cookie,则应该将其通过encodeURL(sessionID)进行调用,然后放到url中。存储内容不同:
cookie只能存储字符串,而session
存储结构类似于hashtable
的结构,可以存放任何类型。
存储大小:cookie
最多可以存放4k
大小的内容,session
则没有限制。
session的安全性要高于cooKie
cookie的session的应用场景:
cookie可以用来保存用户的登陆信息,如果删除cookie则下一次用户仍需要重新登录
session就类似于我们拿到钥匙去开锁,拿到的就是我们个人的信息,一般我们可以在session中存放个人的信息或者购物车的信息。
session和cookie的弊端:cookie的大小受限制,cookie不安全,如果用户禁用cookie则无法使用cookie。如果过多的依赖session,当很多用户同时登陆的时候,此时服务器压力过大。sessionId存放在cookie中,此时如果对于一些浏览器不支持cookie,此时还需要改写代码,将sessionID放到url中,也是不安全。
Session的原理:
服务器创建一个session对象, 并且会为该Session分配唯一的JSessionId, 这个JSessionId通过Cookie保存于客户端浏览器, 当用户下次请求的时候, JSessionId的cookie带回到服务器, 服务器读取这个cookie,获取到JSessionId, 与Session池中的session来匹配, 匹配到Session就是该用户的Session对象, 如果匹配不到, 服务器会为你这次请求创建Session, 又会把JSessionId通过Cookie写回到客户端浏览器上
cookie:maxAge: -1, 当浏览器关闭,cookie会被删除, session无法获取
Session是javax.servlet.http.HttpSession接口的一个对象
获取Session对象的方式: request的方法
1. HttpSession request.getSession() : 常用, 如果当前会话已经有了session对象那么直接返回,如果当前会话还不存在会话,那么创建session并返回
2. HttpSession request.getSession(boolean ) : true: 与request.getSession()一样 false:如果当前会话已经有了session对象那么直接返回,如果当前会话还不存在, 不创建,返回null
session的功能:
主要的功能: 作为session域对象使用
一个用户的一个会话创建一个HttpSession对象,同一会话中的多个请求中可以共享session中的数据;
void setAttribute(String name, Object value):用来存储一个对象,也可以称之为存储一个域属性,例如:session.setAttribute(“xxx”, “XXX”),在session中保存了一个域属性,域属性名称为xxx,域属性的值为XXX。请注意,如果多次调用该方法,并且使用相同的name,那么会覆盖上一次的值,这一特性与Map相同;
Object getAttribute(String name):用来获取session中的数据,当前在获取之前需要先去存储才行,例如:String value = (String) session.getAttribute(“xxx”);,获取名为xxx的域属性;
void removeAttribute(String name):用来移除HttpSession中的域属性,如果参数name指定的域属性不存在,那么本方法什么都不做;
Enumeration getAttributeNames():获取所有域属性的名称;
Cookie 与Session的关系
我们知道session是在服务端的,http又是无状态协议,而seesion又是靠session id来区分的,
因此为了传递session id让服务器识别,这个session id就存放在了cookie中。
因为每次向服务器发送请求时,http头都会带着cookie,
所以服务端就很方便地根据cookie读取出来的session id来区分各个请求的session。