Cookie
- 定义
服务器临时存放在浏览器的少量数据
- 原理
浏览器访问服务器时,服务器将少量数据以set-cookie消息头的方式发送给浏览器;浏览器会将这些数据临时保存下来,当浏览器再次访问服务器时,会将这些数据以cookie消息头的方式发送给服务器
- 应用
- 用处:免登录(在一定时间范围)
2。 实现:将用户信息保存在本地客户端(和浏览器相关的本地路径下保存信息到本地文件),域名绑定用户信息的Cookie,之后访问某个域名浏览器会自动从本地抓取该域名的Cookie信息。- 登陆成功,响应头设置Cookie,之后每次请求浏览器都会自动携带Cookie头
Session
服务段为保存状态而创建的一个特殊对象
- 原理
浏览器访问服务器时,服务器会创建一个session对象(该对象有一个唯一的id,一般称之为sessionId),服务器会将这个sessionId以cookie的形式发送给浏览器,浏览器会保存下来。当浏览器再次访问服务器时,会将sessionId以cookie的形式发发送给服务器,服务器会依据sessionId找到对应的session对象。
- 总结
- session用处:作用于会话(页面的操作),保持用户身份,解决需要登录的敏感资源访问的问题
- 通过服务器保存信息
- session在会话结束,超时,注销,服务器重启就会消失
- 应用
登录操作
- 登录发起请求,后端程序设置一个session(是一种键值形式sessionID=xxxxxxxx),生成随机的字符串sessionID,保存在tomcat的用户信息数据结构中,sessionID绑定一个用户,一个用户保存多个信息(通行证)
- sessionID就会存在响应头,是一种键值对,键是双方约定的值就是sessionID的值(Cookie就是session的一种实现,tomcat就是采用Cookie实现的)
- 之后客户端请求都会携带sessionID
- 服务端接受请求,验证sessionID(根据sessionID查询用户判定是否登录)
- 实现
登录页面loginUseSession.html
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Title</title>
</head>
<body>
请求/loginSession
<form method="post" action="loginSession">
<!--name表示请求数据的键-->
用户名:<input type="text" name="username"/> <br/>
密码:<input type="password" name="password"/><br/>
<input type="submit" value="登录"/>
</form>
</body>
</html>
登录资源LoginUseSessionServlet.java
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet("/loginSession")
public class LoginUseSessionServlet extends HttpServlet {
/**
* 每次http请求映射到某个Servlet的资源路径,都会调用service生命周期方法
* 如果请求方法没有重写,就调用父类的doXXX(对应请求方法),返回405
* 如果重写,会将请求数据包装为一个Request请求对象,这时候虽然还没有响应,但是也
* 包装了一个Response响应对象
*/
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//设置请求,响应编码,及响应数据类型(为响应体设置Content-Type数据类型)
req.setCharacterEncoding("UTF-8");//设置请求体编码
resp.setCharacterEncoding("UTF-8");
resp.setContentType("text/html");
//解析数据
//request.getParameter方法获取请求数据:url和请求体,数据格式为k1=v1&k2=v2
String u = req.getParameter("username");
String p = req.getParameter("password");
System.out.printf("=====================用户名(%s)密码(%s)%n", u, p);
//返回响应数据
PrintWriter pw=resp.getWriter();
if("abc".equals(u) & "123".equals(p)) {//模拟数据库账号密码校验
//获取session信息(从客户端获取jsessionid,在服务端Map中找到session对象)
// 参数为false:如果获取不到,返回null
//参数为true,如果获取不到,创建一个(服务端创建),再返回
HttpSession session = req.getSession();//无参默认是true
session.setAttribute("username", u);
session.setAttribute("password", p);
//真实操作时,可以查询数据库用户信息,转换为一个用户对象
pw.println("登录成功");
pw.println("<h3>欢迎你,"+u+"</h3>");
}else{
pw.println("用户名密码错误,登录失败");
}
pw.flush();
pw.close();
}
}
敏感资源sensitionServlet.java
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet("/sen")
public class sensitionServlet extends HttpServlet {
/**
* 每次http请求映射到某个Servlet的资源路径,都会调用service生命周期方法
* 如果请求方法没有重写,就调用父类的doXXX(对应请求方法),返回405
* 如果重写,会将请求数据包装为一个Request请求对象,这时候虽然还没有响应,但是也
* 包装了一个Response响应对象
*/
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//设置请求,响应编码,及响应数据类型(为响应体设置Content-Type数据类型)
req.setCharacterEncoding("UTF-8");//设置请求体编码
resp.setCharacterEncoding("UTF-8");
resp.setContentType("text/html");
//解析数据
//request.getParameter方法获取请求数据:url和请求体,数据格式为k1=v1&k2=v2
String u = req.getParameter("username");
String p = req.getParameter("password");
System.out.printf("=====================用户名(%s)密码(%s)%n", u, p);
//返回响应数据
PrintWriter pw=resp.getWriter();
// 每一个敏感资源,都获取session,通过是否为空验证用户是否登录:代码耦合性太高
// 可以使用Filter过滤器,统一处理敏感资源验证
HttpSession session = req.getSession(false);
if(session == null){
System.out.println("session为空");
resp.setStatus(401);//没有登录,访问敏感资源,返回401,表示Unauthorized
pw.println("敏感资源,需要登录后访问");
}else {
String username = (String) session.getAttribute("username");
System.out.println("session存在,用户名为:" + username);
pw.println("已登录,请操作");
}
pw.flush();
pw.close();
}
}
直接访问敏感资源现象
登录后访问敏感资源现象
1345
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
