会话控制(Cookie和Session)
Cookie
- Cookie简介:Cookie实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后,每次向服务器发送请求时都会同时将该信息发送给服务器,服务器收到请求后,就可以根据该信息处理请求,区分不同用户。
- Cookie运行原理:
①客户端发送请求,服务器创建Cookie对象,该对象携带用户信息,同时发送给浏览器。
②以后用户每次请求都携带该cookie对象。
③服务器通过该Cookie对象,区分不同用户。 - Cookie的创建和获取
1、创建:
//创建Cookie,并向Cookie中存放数据
Cookie cookie = new Cookie("name", "zhangsan");
//响应给浏览器
response.addCookie(cookie);
然后创建运行之后打开浏览器,你会发现请求头和响应头中多了name数据
2、获取cookie
①Cookie[] cookie = request.getCookies();
因为返回值是一个Cookie对象数组,所以需要循环。其中因为Cookie是通过key-value的形式存储的所以获取值有两个方法:
getName():获取键
getValue():获取值
//获取cookie
Cookie[] cookies = request.getCookies();
for (Cookie cookie : cookies) {
System.out.println("name:" + cookie.getName());
System.out.println("value:" + cookie.getValue());
}
- Cookie的键值问题
Cookie的键不能为中文,值可以为中文,但不建议使用中文(因为使用需要设置字符编码) - Cookie修改
1、直接修改:找到要修改的指定name值,然后再修改value(不建议使用)
//修改Cookie
//①第一种方式:直接修改(不建议使用)
Cookie[] cookies = request.getCookies();
for (Cookie cookie : cookies) {
if("name".equals(cookie.getName())) {
cookie.setValue("lisi");
//把修改后的值响应到浏览器
response.addCookie(cookie);
break;
}
}
2、覆盖修改:new一个name相同的Cookie(推荐使用)
Cookie cookie = new Cookie("name", "wangwu");
response.addCookie(cookie);
- Cookie有效性
1、Cookie默认有效性,是会话级别,当前浏览器有关(关闭浏览器或者换一个浏览器失效)
2、持久化Cookie(不听默认情况,不是会话级别):
setMaxAge(ss),ss为秒
ss>0:在ss秒后失效
ss=0:立即失效
ss<0:默认情况
//创建一个Cookie
Cookie cookie = new Cookie("age", "22");
//给当前cookie设置持久化事件 单位:秒
cookie.setMaxAge(60);
response.addCookie(cookie);
- Cookie有效路径
1、默认有效路径:为当前项目下。
2、设置有效路径:setPath()方法,注意,一般设置有效路径为,当前项目下的某些目录。
//设置有效路径(默认路径为当前项目下)
//保存age的cookie只在test.jsp中能找到
cookie.setPath(request.getContextPath() + "/test.jsp");
response.addCookie(cookie);
- Cookie用途
1、记住密码
例如:做一个简单的7天免登录
前台代码:
<h1>登录</h1>
<form action="loginServlet" method="post">
用户名:<input type="text" name="username" value="${cookie.uname.value }"><br><br>
密 码:<input type="password" name="pwd" value="${cookie.pwd.value }"><br><br>
<input type="checkbox" name="cb">7天免登陆
<br><br>
<input type="submit" value="登录">
</form>
后台代码:
//取值
String uname = request.getParameter("username");
String pwd = request.getParameter("pwd");
String cb = request.getParameter("cb");
//判断用户是否选了7天免登录
if(cb != null && !"".equals(cb)) {
//把用户名密码存到cookie中
Cookie cookieName = new Cookie("uname", uname);
Cookie cookiePwd = new Cookie("pwd", pwd);
//持久化7天
cookieName.setMaxAge(60*60*24*7);
cookiePwd.setMaxAge(60*60*24*7);
//响应
response.addCookie(cookieName);
response.addCookie(cookiePwd);
}else {
System.out.println("不持久");
}
- Cookie缺陷
1、Cookie只能存放String类型。
2、Cookie存放在客户端,不安全。
3、使用Cookie过多,浪费流量。
使用Cookie有一个非常大的局限,就是如果Cookie很多,则无形的增加了客户端与服务端的数据传输量。而且由于浏览器对Cookie数量的限制,注定我们不能再Cookie中保存过多的信息,于是Session出现:
Session
-
Session简介
1、类型:HttpSession
2、作用:Session的作用就是在服务器端保存一些用户的数据,然后传递给用户一个名字为JSESSIONID的Cookie,这个JESSIONID对应这个服务器中的一个Session对象,通过它就可以获取到保存用户信息的Session,以区分不同用户。 -
Session工作原理
①请求过来,服务器创建Session对象,同时会创建一个特殊的Cookie对象,该Cookie对象的key为固定值:JSESSIONID,value为Session的Id。
②服务器会将该Cookie对象发送给浏览器
③以后再请求时会携带该Cookie对象,通过Cookie的value找到指定的Session对象。
④通过Session对象区分不同用户。 -
Session使用
1、创建:
①html&servlet创建方式:request.getSession();
②jsp创建方式:运行jsp页面,直接使用。
③Session对象的3个方法:
setAttribute():设置值
getAttribute():获取值
removeAttribute():移除Session对象中的值
2、获取SessionId
① jsp中获取代码:
sessionId:<%=session.getId() %><br>
②通过浏览器向Servlet(服务器)发送请求获取和jsp获取的结果对比:
前台:
sessionId:<%=session.getId() %><br>
<a href="getSessionIdServlet">获取servlet中的sessionId</a><br>
后台:
//创建session
HttpSession session = request.getSession();
System.out.println(session.getId());
结果对比:
当然结果是:相同
- Session有效性
1、 默认情况:与Cookie一致,会话级别。
2、持久化Session
①首先要持久化特殊的cookie对象,因为Session是通过特殊的cookie对象的key值JSESSIONID得到的
//获取特殊的cookie对象
for (Cookie cookie : request.getCookies()) {
if("JSESSIONID".equals(cookie.getName())) {
//持久化Cookie
cookie.setMaxAge(300);
//响应
response.addCookie(cookie);
break;
}
②持久化session(默认为30分钟)
默认配置在服务器的web.xml中
我们也可以在自己的项目web.xml中配置持久化的时间去覆盖服务器中的配置,还有一种常用的方法就是使用代码:
//持久化session
HttpSession session = request.getSession();
//设置session的非活动事件 单位:分钟
session.setMaxInactiveInterval(30);
③session失效
session.setMaxInactiveInterval(ss):设置session的非活动时间
ss>0:在ss秒后失效
ss=0:立即失效
ss<0:永不失效
设置session失效:session.invalidate()
//设置session失效
//session.setMaxInactiveInterval(0);
session.invalidate();
-
Session钝化和活化
1、钝化:
①定义:将session对象及session中存放数据一同从内存序列化到硬盘的过程,称之为钝化。
②时机:关闭服务器触发
2、活化:
①定义:将session对象及session中存放数据一同从硬盘反序列化到内存的过程,称之为活化。
②时机:重启服务器触发
总结:总的来说钝化和活化实际上就是在你在浏览器上获取到sessionId之后,你在关闭服务器或者重启服务器之后再刷新页面,你会发现sessionId还在。不过有一点要注意:携带的数据不会再存在!如果想要携带的数据经过钝化和活化后也存在,需要在携带的数据的类中实现序列化接口! -
表单重复提交问题
1、转发跳转页面后,刷新页面。
2、提交表单后,点击回退按钮
3、 网速慢等情况 -
解决办法:
1、使用token解决表单重复提交,因为token本质UUID,UUID是一个32位的随机数(全球唯一)
2、步骤:
①创建UUID,同时存放到session域和隐藏域。
②提交表单,分别获取两个域中的UUID,进行比较:
相等:提交表单,移除session域中的UUID
不等:不提交表单
例如解决登录表单重复提交:
前台代码:
<%
String uuid = UUID.randomUUID().toString().replace("-", "");
//将uuid存放到session域中
session.setAttribute("uuid", uuid);
%>
<h1>登录</h1>
<form action="uuidServlet" method="post">
<input type="hidden" name="uid" value="<%=uuid%>">
用户名:<input type="text" name="username" ><br><br>
密 码:<input type="password" name="pwd" ><br><br>
<input type="submit" value="登录">
</form>
后台代码:
//分别取session域和隐藏域中的uuid值进行比较
HttpSession session = request.getSession();
String uid = request.getParameter("uid");
Object uuid = session.getAttribute("uuid");
if(uuid != null && uuid.toString().equals(uid)) {
//如果两个域中的值相等,则进行表单可以提交,并且提交后移除本次随机生成的uuid的值
System.out.println("可以提交!");
session.removeAttribute("uuid");
}else {
//如果不相等,则表单不可以提交
System.out.println("不可以提交!");
}
今天的内容就到这里,谢谢大家观看!希望能给大家带来一些帮助!