Servlet - Sessions and Cookies

已于 2022-10-12 16:28:52 修改
阅读量377 收藏
点赞数
文章标签: servlet 服务器 java
于 2022-10-09 14:27:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34377273/article/details/127225664
版权

Sessions and Cookies

1. What

1.1 Session定义

Session对象是存储在服务器端的,主要用来存储用户会话所需的属性数据和配置数据。SessionlD需要存储在浏览器端,浏览器发送接口请求的时候需要带着这个SessionlD。一个会话就是用户通过浏览器与服务器之间进行的一次通话。

session的工作原理:

  • 服务器程序运行的过程中产生session,并且为该session生成唯一的session ID
  • 服务器将session ID发送给客户端
  • 客户端再次发送请求时,会将这个session ID带上
  • 服务器接收到请求之后,根据session ID找到相应的session,完成请求响应。

Session失效:

  • 服务器会把长时间没有活动的Session从服务器内存中清除,此时Session便失效。Tomcat中Session的默认失效时间为20分钟。
  • 调用Session的invalidate方法。

1.2 Cookie定义

Cookie是一小段存储在浏览器端的文本数据,大小不超过4KB。
key-value的数据:
name:cookie的名称
value:cookie的值

max-age:生存周期,max-age用秒来设置cookie的生存期

  • max-age属性为正数,则表示该cookie会在max-age秒之后自动失效
  • max-age为负数,则表示该cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该cookie即失效。
  • max-age为0,则表示删除该cookie

domain :Cookie 所属的域
path:Cookie 来源的网址路径
secure: 该Cookie是否仅被使用于安全协议传输。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。
httponly: 指示 Cookie 应仅由浏览器在 HTTP 请求中设置,而无法通过 JavaScript 访问。

2. Why

HTTP协议是无状态的,每次浏览器向服务器请求时,服务器都会视为新的请求,因此我们需要会话跟踪技术来实现会话内数据共享。

3. How

Cookie和Session的比较:

比较因素CookiesSession
存储方式Cookie只能存储字符串,如果非要存储ASCII字符串还要对其编码Session可以存储任何类型的数据,可以把Session看出一个容器
隐私安全Cookie存储在浏览器中,对客户端是可见的。信息容易泄露出去。如果使用Cookie,最好将Cookie加密Session存储在服务器上,对客户端是透明的。不存在敏感信息泄露问题
有效期Cookie保存在硬盘中,只需要设置magAge属性来控制,即使关闭浏览器,Cookie还是存在的Session保存在服务器中,设置maxlnactiveInterval属性来确定有效期。(如果使用Cookie的方式跟踪会话,Session依赖JessionID的Cookie,如果设置该Cookie的maxAge为-1,当关闭浏览器,该Session虽然没有从服务器中消亡,但是也还是失效的)
服务器的负担Cookie保存在客户端,不占用服务器资源。(baidu,Sina这样的大型网站一般使用Cookie来进行会话跟踪Session保存在服务器中,每个用户都会产生一个Session,如果并发访问的用户非常多,Session会消耗大量的内存
有浏览器支持如果浏览器禁用了Cookie,那Cookie就无用了如果浏览器禁用了Cookie,Session可以通过url地址重写进行会话跟踪
跨域名Cookie可以设置Domain属性来实现跨域名Session只在当前的域名内有效,不可跨域名
储存大小Cookie最多可以放4K大小的内容Session大小没有限制

4. Samples

4.1 Cookie的基本使用

  • 发送Cookie
    创建Cookie对象,设置数据: Cookie cookie =new Cookie(“key”,“value”);
    发送到Cookie客户端:使用response对象:response.addCookie(cookie);
  • 获取Cookie
    获取客户端携带的所有Cookie,使用request对象:Cookie[] cookie =request.getCookies();
    遍历数组,获取每一个Cookie对象:for
    使用Cookie对象方法获取数据 cookie.getName();
  • Cookie存储中文
    Cookie默认不能存储中文,如需要存储,可以进行URL转码

4.2 Session的基本使用

  • 获取Session对象:HttpSession session =request.getSession();
  • 存储Session对象功能
    void setAttribute(String name,Object o): 存储数据到session域中
    Object getAttribute(String name ): 根据key,获取值
    void removeAttribute(String name): 根据key,删除该键值对

4.3 实现会话跟踪的技术

4.3.1 Cookie

Cookie 是信息的键值对,由服务器发送到浏览器,然后浏览器将这个标识符连同那里的每个请求一起发送回服务器。
缺点:用户可以在浏览器中禁用 cookie 支持,在这种情况下服务器将无法识别用户,因此这是这种方法的主要缺点。

4.3.2 隐藏表单域

信息通过隐藏的表单字段插入网页,然后传输到服务器。这些字段对用户的视图是隐藏的。例如
<input type=”hidden” name=”sessionId” value=”unique value”/>
缺点:由于我们不能硬编码为会话跟踪目的而创建的隐藏字段的值,这意味着我们不能将这种方法用于HTML等静态页面

4.3.3 URL 重写

URL重写是在每个请求 URL 中附加一个会话(唯一)标识符以便服务器可以识别用户会话的方法。
例如:
如果我们在 http://localhost:8080/HelloWorld/SourceServlet 上应用URL重写,它将变成类似
http://localhost:8080/HelloWorld/SourceServlet?jSessionId=XYZ
其中 jSessionId=XYZ 是附加的会话标识符,服务器将使用值 XYZ 来识别用户会话。
优点:独立于浏览器,即使浏览器不支持Cookie,也可以实现功能
缺点:我们需要重新生成每个url以附加会话标识符,并且需要跟踪该标识符直到会话完成。

4.3.4 会话跟踪API

Servlet 使用 HttpSession API提供了一个方便且稳定的会话跟踪解决方案。

servlet 中的会话跟踪非常简单,包括以下步骤:

  • 使用request.getSession()获取关联的会话对象 (HttpSession ) 。
  • 要从会话对象中获取特定值,请在 HttpSession 对象上调用getAttribute(String) 。
  • 将任何信息存储在会话对象上的会话调用 setAttribute(key,object) 中。
  • 要删除会话数据,请调用 removeAttribute(key) 以丢弃具有给定键的对象。
  • 要使会话无效,请在会话对象上调用 invalidate()。这用于注销已登录的用户。

4.4 利用Session防止表单重复提交

服务器返回表单页面时,会先生成一个subToken保存于session,并把该subToen传给表单页面。当表单提交时会带上subToken,服务器拦截器Interceptor会拦截该请求,拦截器判断session保存的subToken和表单提交subToken是否一致。若不一致或session的subToken为空或表单未携带subToken则不通过。
首次提交表单时session的subToken与表单携带的subToken一致走正常流程,然后拦截器内会删除session保存的subToken。当再次提交表单时由于session的subToken为空则不通过。从而实现了防止表单重复提交。

4.5 微服务分布式session共享解决方案

4.5.1 基于tomcat的session共享(通常不采用)

优点:不需要额外开发,只需要搭建tomcat集权即可
缺点:tomcat是全局session复制,集群内每个tomcat的session完全同步,在大规模应用的时候,用户过多,集群内tomcat数量过多,session的全局复制会导致集群性能下降,而且依赖tomcat容器移植性不好。

4.5.2 cookie同步session,如JWT(json web token)

这种方式就是把客户信息保存在客户端的cookie中,每次请求带着cookie中的token
优点:由于完全舍弃了session,会减轻服务器端的压力
缺点:把客户信息暴露在外,存在安全性问题,当浏览器禁用cookie的情况下无效

4.5.3 redis集中管理session(常用)

优点:redis 为内存数据库,读写效率高,并可在集群环境下做高可用

4.5.4 基于Nginx的ip_hash负载均衡

其实就是对请求过来的ip地址对你的多少台可用的服务器进行取模,然后就会把你的请求通过Nginx的反向代理给分发到对应的服务器上。(这里会把可用的服务器放到一个数组中,如果取模得到的结果是几,就把请求分到服务器数组中的下标为几的服务器上)。
优点:配置简单,不需要修改代码。便于服务器水平扩展。安全性较高。
缺点:服务器重启会造成部分session丢失。水平扩展也会造成session丢失。存在单点负载较高的风险。

我是王小贱
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
Spring Boot 中文参考指南(二)-Web
分享技术干货和灵感、推荐新书和好玩的项目、分享Java面试题
03-13 2878
跟其他的静态资源一样,Spring Boot 会在配置的静态内容位置检查,如果存在这样的文件,它会自动用作应用程序的图标。如果要显示一个给定状态码的自定义HTML错误页,可以将文件添加到/error目录。错误页面可以是静态HTML(即,添加到任何静态资源目录下)或者使用模版构建,文件名应该是确切状态代码或序列掩码。src/+- main/+- java/+- public/+- error/src/+- main/+- java/+- error/对于更复杂的映射,可以添加实现
Servlet简介
iOS逆向与安全
05-25 1万+
开发servlet程序步骤: step1. 写一个java类,实现Servelt接口或者继承Httpservlet类,一般 继承Httpservlet类(实现了Servelt接口). step2.编译(servlet-api.jar). step3.打包 appname(目录,程序名) WEB-INF(目录,不能自己定义) classes(存放servlet class文件)
Servlet中的会话cookiesession)以及注销会话
xupt_rl的博客
07-25 1143
一、会话 所谓会话字面意思就是指一次交流会交谈。但是在Web中,会话表示从浏览器打开某个网站,在这个网站中无论操作了什么,直到关闭浏览器,这一个过程称之为一个会话。 怎样算会话结束 客户端关闭了 服务端关闭了 为什么要处理会话 长期保持会话,无论用户关闭多少次浏览器,这个会话都要存在。 比喻: 你前天来了图书馆,我今天想要知道你昨天来了图书馆。 解决方法: 1.你留下了一个标记,让我知道你来过...
2021-09-24错题
weixin_46579624的博客
09-24 582
场景: 在练习 错题 错题1描述: 有关会话跟踪技术描述正确的是() A. Cookie是Web服务器发送给客户端的一小段信息,客户端请求,可以读取该信息发送到服务器端 B. 关闭浏览器意味着临会话ID丢失,但所有与原会话关联的会话数据仍保留在服务器上,直至会话过期 C. 在禁用Cookie可以使用URL重写技术跟踪会话 D. 隐藏表单域将字段添加到HTML表单并在客户端浏览器中显示 原因分析: ABC D:隐藏域在页面中对于用户(浏览器)是不可见的,在表单中插入隐藏域的目的在于收
JavaWeb期末题库
最新发布
qq_68577316的博客
12-19 1万+
JavaWeb期末题库
cookie禁用后session怎么使用url重写详细讲解
热门推荐
weixin_40648117的博客
12-19 2万+
一、Session简单介绍   在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序,其它程序可以从用户session中取出该用户的数据,为用户服务。 二、Session和Coo
会话跟踪技术:会话Cookie,URL重写和HttpSession
自强
07-15 1万+
 一,会话跟踪(session tracking)技术 会话客户端发送请求,服务器返回响应的连接间段。 HTTP是无状态协议:每次都是单独连接,不能维持客户的上下文信息。 会话跟踪技术是用于维持客户端服务器端通信信息的技术。  三种典型客户端会话跟踪解决方案:  1,Cookie;  2,URL重写;  3,隐藏表单域;二,会话Cookie 用于会话跟踪Cookie叫做会话Cookie
Servlet相关知识点
weixin_48304192的博客
05-22 380
Servlet相关知识点 一、引言 1.1C/S架构和B/S架构 C/S和B/S是软件发展过程中出现的两种软件架构方式。 1.2C/S架构(Client/Server客户端/服务器) 特点:必须在客户端安装特定软件 优点:图形效果显示较好(如:3D游戏) 缺点:服务器软件和功能进行升级,客户端也必须升级、不利于维护 常见的C/S程序:QQ、微信等 1.3B/S架构(Browser/Server浏览器/服务器) 特点:无需安装客户端,任何浏览器都可直接访问 优点:涉及到功能的升级,只需要升级
servlet2.4doc
12-10
Creates a cookie, a small amount of information sent by a servlet to a Web browser, saved by the browser, and later sent back to the server. Cookie(String, String) - Constructor for class javax....
会话 计算机术语,Servlet会话(Servlet Session timeout)
weixin_39582708的博客
07-04 1636
Servlet会话(Servlet Session timeout)我正在写我的SPring MVC网络应用程序。我已将会话间设置为10080分钟,等于1周。 现在我想让用户在每次打开浏览器都登录:sessionService.setcurrentUser(myuser);HttpSession session = request.getSession();Cookie cookie = ...
cookie禁用怎么使用session技术--URL重写技术
革命尚未成功同志还需努力的博客
12-27 1682
为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie实现
URL重写——在禁用Cookie的情况下使用Session
一珄筱歌的博客
11-04 2216
Cookie是以文本文件的方式存储在客户端,而Session却存储在服务器内存中,当客户发送请求Cookie信息会随着请求一起发送到服务器服务器会根据Cookie中的SessionID寻找客户对应的Session对象,因此如果Cookie被禁用后,Session会受到影响。 这样就需要使用URL重写来解决问题了: HttpServletRespoonse接口提供了重写URL的方法,声明如
会话追踪--cookie/重写url/隐藏域/session
yangruxi的博客
07-28 3416
网络通信协议分类1.有状态的协议:TCP/IP,自从客户端服务器连接上以后,这个连接会一直保持畅通,持续保持连接状态。 比如:打电话,从双方接通开始,一直到任何一方挂断电话位置,期间一直保持畅通。2.无状态的协议:HTTP,这是一种请求/响应模式的协议,当浏览器发起请求那一刻,与服务器建立了连接,当服务器客户端浏览器做出响应后,连接就中断了。 比如:今天打开一个网页,看大一条新闻,这个网页放
如果不确定客户端是否禁用cookie,则可以使用URL重写技术
m0_55975853的博客
11-10 320
URL重写是指服务器程序对接收的URL请求重新写成网站可以处理另一个URL的过程。URL重写技术是实现动态网站会话跟踪的重要保障。在实际应用中,当不能确定客户端浏览器是否支持Cookie的情况下,使用URL重写技术可以对请求的URL地址追加会话标识,从而实现用户会话跟踪功能。URL重写实现会话跟踪,要保证每个页面都必须使用Servlet或JSP动态页面。因为附加在URL上的sessionID是动态产生的,所以对于静态页面的跳转,URL重写机制无能为力。可以通过HttpServletResponse的enc
jsp或servlet中删除Cookie
getdate的专栏
12-13 6516
<br /> <br />from :http://www.cn-java.com/www1/?action-viewnews-itemid-70585<br /> <br />一、删除已知名称的Cookie(方案:重新建立同名立即删除类型的Cookie)<br />Cookie newCookie=new Cookie(“username”,null); //假如要删除名称为username的Cookie<br />newCookie.setMaxAge(0); //立即删除型<br />newCooki
cookie失效间_cookiesession详解
weixin_39828102的博客
11-28 5331
cookiesession的区别二者的定义:  当你在浏览网站的候,WEB 服务器会先送一小小资料放在你的计算机上,Cookie 会帮你在网站上所打的文字或是一些选择,都纪录下来。当下次你再光临同一个网站,WEB 服务器会看看有没有它上次留下的 Cookie 资料,有的话,就会依据 Cookie里的内容来判断使用者,送出特定的网页内容给你。Cookie 的使用很普遍,许多有提供个人化...
清除sessioncookie的代码
李昊(Java)
12-02 6243
1. [代码]一、清除页面缓存 在jsp页里 01 //在jsp页里 02 <% 03 response.setHeader("Pragma","No-cache"); 04 response.setHeader("Cache-Control","no-cache"); 05 response.setDateHeader
Java Servlet 会话追踪技术详解
"本文主要介绍了会话追踪机制在Servlet中的应用,包括常见的追踪方式如cookies、SSL Sessions、URL重写和表单隐藏。同,详细阐述了Servlet的概念、功能、生命周期以及其在Web服务器上的作用。" 在Web开发中,会话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我是王小贱

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值