Session与Cookie的“前世今生”

最新推荐文章于 2022-12-04 19:58:27 发布
最新推荐文章于 2022-12-04 19:58:27 发布
阅读量433 收藏 1
点赞数 6
分类专栏: java学习 文章标签: java cookie session 分布式
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43688587/article/details/104998015
版权

Cookie与Session的前世今生

苦于在学Filter过滤器的时候,突然发现先前的Cookie与Session基础不太扎实,也想去更深入地了解一下,一起去了解一下吧。

先列出思维导图,会着重对其中的关键点进行详细说明:
在这里插入图片描述

Cookie详解

概念及简介

客户端会话技术,将数据保存到客户端
http协议本身是一种无状态的协议,不能进行登录验证。

  1. cookie是按照域名分别存储的,从A域名得到的cookie只会发送回A域名。
  2. cookie分为临时cookie和长久cookie。如果一个cookie没有设置有效期,那么浏览器在关闭时就会删除这个cookie,这种cookie叫做临时cookie,如果cookie设置了有效期,那么浏览器会一直保存这个cookie,直到有效期为止,这种cookie叫做长久cookie。
  3. cookie常用于存储用户的登录信息。

快速入门

  1. 创建Cookie对象,绑定数据
   new Cookie(String name, String value)
  1. 发送Cookie对象
response.addCookie(Cookie cookie)
  1. 获取Cookie,拿到数据
  Cookie[]  request.getCookies()

实现原理

基于响应头set-cookie和请求头cookie实现
Cookie是对http协议的扩展。 服务端可以在响应头中添加 Set-Cookie字段,将cookie值发送给客户端,浏览器在收到这个响应时,会自动将cookie保存起来,下次再发送请求时,会将这个cookie附带在请求头的Cookie字段中发给服务器。

经典例题

  1. 一次可不可以发送多个cookie?
    可以
    可以创建多个Cookie对象,使用response调用多次addCookie方法发送cookie即可。

  2. cookie在浏览器中保存多长时间?
    默认情况下,当浏览器关闭后,Cookie数据被销毁
    可以用持久化存储解决:
    setMaxAge(int seconds)

    1. 正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效
    2. 负数:默认值
    3. 零:删除cookie信息

  3. cookie能不能存中文?

    • 在tomcat 8 之前 cookie中不能直接存储中文数据。
    • 需要将中文数据转码—一般采用URL编码(%E3)
    • 在tomcat 8 之后,cookie支持中文数据。特殊字符还是不支持,建议使用URL编码存储,URL解码解析

  4. cookie共享问题?
    1.假设在一个tomcat服务器中,部署了多个web项目,那么在这些web项目中cookie能不能共享?
    回答:默认情况下cookie不能共享
    解决方案:
    setPath(String path)😗*设置cookie的获取范围。默认情况下,设置当前的虚拟目录
    如果要共享,则可以将path设置为"/"

    2. 不同的tomcat服务器间cookie共享问题?
    答案:setDomain(String path):如果设置一级域名相同,那么多个服务器之间cookie可以共享。
    setDomain(".baidu.com"),那么tieba.baidu.com和news.baidu.com中cookie可以共享.

Session详解

背景及简介

cookie技术可以将信息存储在不同的浏览器中,并且可以实现多次请求下的数据共享。但是如果传输的信息比较多的情况下,使用cookie技术会增加服务器端程序处理的难度,这时我们就可以采用session技术。
session是一种将会话数据保存到服务器端的技术。 对Tomcat而言,Session是一块在服务器开辟的内存空间,其存储结构为ConcurrentHashMap
session是一种建立在cookie之上的通信状态保留机制,可以实现在服务端存储某个用户的一些信息。

工作原理

那么Session在何时创建呢
当然还是在服务器端程序运行的过程中创建的,不同语言实现的应用程序有不同创建Session的方法,而在Java中是通过调用HttpServletRequest的getSession方法(使用true作为参数)创建的。
在创建了Session的同时,服务器会为该Session生成唯一的Session id,而这个Session id在随后的请求中会被用来重新获得已经创建的Session;

在Session被创建之后,就可以调用Session相关的方法往Session中增加内容了,而这些内容只会保存在服务器中,发到客户端的只有Session id;当客户端再次发送请求的时候,会将这个Session id带上,服务器接受到请求之后就会依据Session id找到相应的Session,从而再次使用之。
问题细化:
创建
sessionid第一次产生是在直到某server端程序调用 ==HttpServletRequest.getSession(true)==这样的语句时才被创建。

删除
超时;程序调用HttpSession.invalidate();程序关闭;

session存放在哪里
服务器端的内存中。不过session可以通过特殊的方式做持久化管理(memcache,redis)。

session的id是从哪里来的,sessionID是如何使用的
当客户端第一次请求session对象时候,服务器会为客户端创建一个session,并将通过特殊算法算出一个session的ID,用来标识该session对象

session会因为浏览器的关闭而删除吗?
不会,session只会通过上面提到的方式去关闭。

举例说明原理

tomcat服务器为例。
ManagerBase是所有session管理工具类的基类,它是一个抽象类,所有具体实现session管理功能的类都要继承这个类,该类有一个受保护的方法,该方法就是创建sessionId值的方法:

tomcat的session的id值生成的机制是一个随机数加时间加上jvm的id值,jvm的id值会根据服务器的硬件信息计算得来,因此不同jvm的id值都是唯一的),
StandardManager类是tomcat容器里默认的session管理实现类,
它会将session的信息存储到web容器所在服务器的内存里。
PersistentManagerBase也是继承ManagerBase类,它是所有持久化存储session信息的基类,PersistentManager继承PersistentManagerBase,但是这个类只是多了一个静态变量和一个getName方法,目前看来意义不大,对于持久化存储session,tomcat还提供了StoreBase的抽象类,它是所有持久化存储session的基类,另外tomcat还给出了文件存储FileStore和数据存储JDBCStore两个实现。

快速入门

获取Session对象:
1.

HttpSession s = request.getSession(true);
注:
 当flag为true时,先查看请求当中是否有sessionId,如果没有
sessionId,则创建一个session对象;如果有sessionId,则
依据该sessionId去查找对应的session对象,如果找到了,则
返回该session对象,如果没有找到,则创建一个新的session对象。

2.`

HttpSession s = request.getSession(false);
注:
 当flag为false,先查看请求当中是否有sessionId,如果没有,
返回null;如果有sessionId,则依据该sessionId去查找对应的
session对象,如果找到了,则返回该session对象,如果没有找到,
返回null。

HttpSession s = request.getSession();
等价于 request.getSesion(true)。实际工作中一般常用这个。

使用Session进行状态管理

a.将数据绑订到session对象上:
 session.setAttribute(String name,Object obj);
b.依据绑订名获得绑订值:
 Object session.getAttribute(String name);
c.解除绑订:
 session.removeAttribute(String name);

Session超时
是什么?

服务器会把空闲时间过长的session对象从内存当中删除。
为了节省内存空间。
注:
	空闲时间一般是半个小时。

修改超时时间

方式一: 修改web.xml
 <session-config>
     <session-timeout>30</session-timeout>
 </session-config>:
 每一个web应用都有一个web.xml,另外,容器也有一个
 web.xml。
方式二: session.setMaxInactiveInterval(int seconds);:
	用于设置两次请求之间最大的间隔时间长度,如果超过这个
时间长度,服务器会将session删除。

删除Session

session.invalidate();

经典例题

1. 当客户端关闭后,服务器不关闭,两次获取session是否为同一个?
答案:默认情况下。不是。

  • 如果需要相同,则可以创建Cookie,键为JSESSIONID,设置最大存活时间,让cookie持久化保存。
   Cookie c = new Cookie("JSESSIONID",session.getId());
           c.setMaxAge(60*60);
           response.addCookie(c);
#

2.客户端不关闭,服务器关闭后,两次获取的session是同一个吗
答案: 不是同一个,但是要确保数据不丢失。tomcat自动完成以下工作
* session的钝化:在服务器正常关闭之前,将session对象系列化到硬盘上
* session的活化:在服务器启动后,将session文件转化为内存中的session对象即可。
3.session什么时候被销毁
答案:
1. 服务器关闭
2. session对象调用invalidate() 。
3. session默认失效时间 30分钟
选择性配置修改

  <session-config>
           <session-timeout>30</session-timeout>
       </session-config>

Cookie与Session比较

**1. session存储数据在服务器端,Cookie在客户端
2. session没有数据大小限制,Cookie有
3. session数据安全,Cookie相对于不安全
**

Session一致性

何为一致性?

只要用户不重启浏览器,每次http短连接请求,理论上服务端都能定位到session,保持会话。

分布式Session

单服务器web应用中,session信息只需存在该服务器中,这是我们前几年最常接触的方式,但是近几年随着分布式系统的流行,单系统已经不能满足日益增长的百万级用户的需求,集群方式部署服务器已在很多公司运用起来,当高并发量的请求到达服务端的时候通过负载均衡的方式分发到集群中的某个服务器,这样就有可能导致同一个用户的多次请求被分发到集群的不同服务器上,就会出现取不到session数据的情况,于是session的共享就成了一个问题。

解决方案

保证session一致性的架构设计常见方法:

session同步法:多台web-server相互同步数据


客户端存储法:一个用户只存储自己的数据


反向代理hash一致性:四层hash和七层hash都可以做,保证一个用户的请求落在一台web-server上


后端统一存储:web-server重启和扩容,session也不会丢失

END,各位有什么更快理解的方法可以告诉我!!!
长路漫漫,JAVA为伴!!!

福尔摩东
关注
专栏目录
Django的前世今生
东方佑
01-28 16万+
内置功能 HTTP的封装-request和response ORM Admin form template sessioncookie 权限 安全 Cache Logging Sitemap RSS 等 详细了解可以参考 https://www.djangoproject.com/start/overview/ https://docs.djangoproject.com/en/1.11/ Dj...
1024,一封写给CSDN家园Python初学者的信 | Python初级、中级、高级学习路线
杨秀璋的专栏
10-24 5万+
又是一年1024,祝所有程序员节日快乐,健康开心,祝CSDN越来越好。转眼,已经在CSDN分享了十多年博客,感谢大家的陪伴和祝福,在这里我与许多人成为了朋友,感恩。非常遗憾,这次没能去长沙岳麓书院见很多大佬和博友,下次有机会一定去。我也会继续加油,分享更好更系统的文章,帮助更多初学者。总之,感恩大家能一起在CSDN相遇,相见,相知,我们相约在这里分享一辈子,感恩同行!
session 的演化过程
饭团爸爸的博客
01-05 364
概述 session 是个大家很熟悉,但是又不太了解的朋友,网上有很多介绍 session 的文章,但是大多是 session 技术本身,但是为什么有 session 以及那些技术的选择,没有太多交代,本文是本人搜集资料,加上一点个人 YY 的部分,组成的一份资料,欢迎交流。 所有现有的技术,都有其历史性,现有的技术,都是历史的技术,经过新时代变迁发展过来的。 原始时代的 HTTP HTTP 协...
理解CookieSession的区别及使用
热门推荐
liyifan687的博客
04-25 10万+
前言 HTTP是一种无状态的协议,为了分辨链接是谁发起的,需自己去解决这个问题。不然有些情况下即使是同一个网站每打开一个页面也都要登录一下。而SessionCookie就是为解决这个问题而提出来的两个机制。 应用场景 登录网站,今输入用户名密码登录了,第二天再打开很多情况下就直接打开了。这个时候用到的一个机制就是cookiesession一个场景是购物车,添加了商品之后客户端...
cookiesession 到底是什么
fdl123456的博客
02-03 583
预计阅读时间:8 分钟cookie 大家应该都熟悉,比如说登录某些网站一段时间后,就要求你重新登录;再比如有的同学很喜欢玩爬虫技术,有时候网站就是可以拦截住你的爬虫,这些都和 cooki...
深入理解cookie前世今生
Lonely_Devil的博客
07-28 642
        提到cookie和seesion,相信很多人都知道,但是只是浮于表面,如果要他们详细的叙述原理及应用,估计很多人答不上来。 相对于session储在服务端来说,cookie储在客户端浏览器的。下面我将从几个方面来说明cookiecookie从哪里来       1、服务端返回       2、客户端自己cookie到哪里去        对于浏览器来说,...
SessionCookie 和 token 的前世今生
qq_25096741的博客
03-26 217
引入:我们都知道 http 协议本身是一种无状态的协议,一个普通的http请求简单分为三步: 客户端发送请求request 服务端收到请求并进行处理 服务端将结果respond给客户端 对于服务端来说 服务端如何知道当前请求的客户端是哪个用户 如何保证每次请求,服务器都知道是哪个用户 一、cookie 什么是cookie cookie 就是储在客户端的一段数据,采用的是在客户端保持 HTTP 状态信息。 cookie 的产生背景 随着互联网的发展,已经不仅仅是浏览网页了,越来越多的交互式网站兴起,如在线购
SessionCookie
weixin_45969538的博客
01-15 249
一、SessionCookie 基本概念 Session & Cookie Session? ----储在服务器端,保用户名、登录状态等信息 Cookie? ----由服务器下发给客户端,保在客户端的一个文件里.保的内容主要包括:SessionID 案例拓扑 本地Session 问题 通过Nginx调度器负载后端两台Web服务器,实现以下目标: ...
sessionCookie
qq_68180489的博客
05-13 735
目录 sessionCookie 1.session的一些方法与概述 2.Cookie的一些方法与概述 Cookie的类容如含特殊符号 需要转16径直文件、 sessionCookie 1.session的一些方法与概述 session-》内置对象 1.概述 服务器端会话技术,在一次会话的多次请求间共享数据,将数据保在服务器端的对象。jsp:session servlet:HttpSession 2.快速入门 获取一个值 根据剑 ...
HTTP 的前世今生
php_martin的博客
08-04 236
HTTP 相关知识梳理
Http与TCP区别,来看看移动端小程序技术的前世今生
m0_65146387的博客
12-20 119
TCP协议对应于传输层,而HTTP协议对应于应用层,从本质上来说,二者没有可比性。Http协议是建立在TCP协议基础之上的,当浏览器需要从服务器获取网页数据的时候,会发出一次Http请求。Http会通过TCP建立起一个到服务器的连接通道,当本次请求需要的数据完毕后,Http会立即将TCP连接断开,这个过程是很短的。所以Http连接是一种短连接,是一种无状态的连接。 所谓的无状态,是指浏览器每次向服务器发起请求的时候,不是通过一个连接,而是每次都建立一个新的连接。如果是一个连接的话,服务器进程中就能保持住这个
CSRF漏洞剖析
最新发布
zmzsg100的专栏
12-04 866
CSRF的前世今生
CookieSession前世今生
weixin_43380444的博客
04-26 155
https://www.cnblogs.com/andy-zhou/p/5360107.html
cookiesession由来及各自特性
散尽浮华
02-22 217
由来 浏览器和服务器间的数据交互,就是会话。 但是呢,http协议是无状态无记忆的,就会导致业务的不连续性。 [不连续性的说明]譬如你在xxx网站A界面登录成功,当你点击跳转到B界面时,又会提示请登录。 那么,怎么才能让服务器识别浏览器身份,认为是同一用户的多次请求,从而达到数据共享呢? 这就要用到[会话技术]了,本质上就
web思想的发展历程:CookieSession,Token、Redis
weixin_45805060的博客
12-15 118
1.了解各模块的概念 理解 CookieSession,Token 并结合 Redis 的使用 引用前辈的整理: 前辈:Mr.曹 链接:https://www.cnblogs.com/cckui/p/10967266.html 2.未完,待续。。。 ...
史上最详细的CookieSession 的区别详解
目前专注区块链相关技术的学习与分享
06-27 372
一、什么是CookieCookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端会把Cookie起来。 当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。 工作原理如下: 1. 如果没有设置Cookie失效日期,它们仅保到关闭浏览器程序为止. 2. 如果将Cookie
Session到Token的身份验证演变过程理解SessionCookie、Token
mhHao的博客
01-18 242
本文将从Web应用 由传统身份验证到基于Token的身份验证的演变过程的角度,介绍SessionCookie、Token。 很久以前,Web 应用基本用作文档的浏览,如网络黄页。既然仅仅是浏览,因此服务器不需要记录具体用户在某一段时间里都浏览了哪些文档,每次请求都是一个新的HTTP协议,对服务器来说都是全新的。 基于Session的身份验证 随着交互式Web应用的兴起,比如,购物等需要登录的网站...
cookiesession详解
m0_46657493的博客
03-29 2349
背景:http是一个无状态的协议,短连接(每次请求和响应都会新建连接及关闭连接) 注:http1.1提供了长连接 cookie概念 定义: cookies储在客户端计算机上的文本文件,并保留了用户的各种跟踪信息 作用: 会话保持,如完成用户的登录与状态保持 cookie工作原理: 客户端向服务区发起登录请求 服务器脚本向浏览器发送一组 Cookies。例如:姓名、年龄或识别号码等。 浏览器将这些信息储在本地计算机上,以备将来使用。 当下一次浏览器向 Web 服务器发送任何请求时,浏览器会把这些
HTTP SessionCookie交互机制详解
"本文主要探讨了sessioncookie之间的交互原理,包括它们的产生、生命周期、以及如何在浏览器和服务器之间建立一一对应的关系。" 在Web应用程序中,sessioncookie是两种重要的用户会话管理机制,它们帮助服务器...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值