java基础——Cookie 和Session

web中什么是会话：
用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。每个用户在使用浏览器与服务器进行会话的过程中，不可避免各自会产生一些数据，程序要想办法为每个用户保存这些数据。

Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。

1、Cookie和Session的区别

区别	Cookie	Session
存在	Cookie是客户端技术，通常保存在客户端，即本地，IE浏览器把Cookie信息保存在类似于C:\windows\cookies的目录下。因为Cookie在客户端所以可以编辑伪造，不是十分安全	Session是服务器端技术，在服务端，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问服务器中的其它web资源时，其它web资源再从用户各自的session中取出数据为用户服务
存储数据	只能存储 String 类型的对象	能够存储任意的 java 对象
性能	Cookie存在客户端对服务器没影响	Session过多时会消耗服务器资源，大型网站会有专门Session服务器
作用域	Cookie通过设置指定作用域只能在指定作用域有效	Session在整个网页都有效
作用时间	Cookie可以通过 setMaxAge设置有效时间，即使浏览器关闭了仍然存在	关闭网页Session就结束了

2、Cookie

由于HTTP是一种无状态的协议，服务器单从网络连接上无从知道客户身份。怎么办呢？就给客户端们颁发一个通行证吧，每人一个，无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

1.1、Cookie机制

在程序中，会话跟踪是很重要的事情。理论上，一个用户的所有请求操作都应该属于同一个会话，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。

而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话，必须引入一种机制。

Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前，基本上所有的网站都采用Cookie来跟踪会话。

1.2、Java提供的操作Cookie的API

NO	方法##############################	类型	描述
1	Cookie(String name, String value)	构造方法	实例化Cookie对象，设置Cookie的名称和cookie的值
2	public String getName()	普通方法	取得Cookie的名字
3	public String getValue()	普通方法	取得Cookie的值
4	public void setValue(String newValue)	普通方法	设置Cookie的值
5	public void setMaxAge(int expiry)	普通方法	该Cookie失效的时间，单位秒。如果为正数，则该Cookie在maxAge秒之后失效。如果为负数，该Cookie为临时Cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该Cookie。如果为0，表示删除该Cookie。默认为–1
6	public int getMaxAge()	普通方法	获取Cookies的有效期
7	public void setPath(String uri)	普通方法	设置cookie的有效路径，比如把cookie的有效路径设置为"/xdp"，那么浏览器访问"xdp"目录下的web资源时，都会带上cookie，再比如把cookie的有效路径设置为"/xdp/gacl"，那么浏览器只有在访问"xdp"目录下的"gacl"这个目录里面的web资源时才会带上cookie一起访问，而当访问"xdp"目录下的web资源时，浏览器是不带cookie的
8	public String getPath()	普通方法	获取cookie的有效路径
9	public void setDomain(String pattern)	普通方法	设置cookie的有效域
10	public String getDomain()	普通方法	获取cookie的有效域

1、cookie读取和设置

Java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的所有Cookie（以Cookie[]数组形式返回），通过response.addCookie(Cookiecookie)向客户端设置Cookie。

Cookie对象使用key-value属性对的形式保存用户状态，一个Cookie对象保存一个属性对，一个request或者response同时使用多个Cookie。因为Cookie类位于包javax.servlet.http.*下面，所以JSP中不需要import该类。

2、 Cookie的不可跨域名性

很多网站都会使用Cookie。例如，Google会向客户端颁发Cookie，Baidu也会向客户端颁发Cookie。那浏览器访问Google会不会也携带上Baidu颁发的Cookie呢？或者Google能不能修改Baidu颁发的Cookie呢？

答案是否定的。Cookie具有不可跨域名性。根据Cookie规范，浏览器访问Google只会携带Google的Cookie，而不会携带Baidu的Cookie。Google也只能操作Google的Cookie，而不能操作Baidu的Cookie。

3、Unicode编码：保存中文

中文与英文字符不同，中文属于Unicode字符，在内存中占4个字符，而英文属于ASCII字符，内存中只占2个字节。Cookie中使用Unicode字符时需要对Unicode字符进行编码，否则会乱码。

提示：Cookie中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码，因为浏览器不一定支持，而且JavaScript也不支持GBK编码。

4、Cookie的有效期

Cookie的maxAge决定着Cookie的有效期，单位为秒（Second）。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。

如果maxAge属性为正数，则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化，即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑，只要还在maxAge秒之前，登录网站时该Cookie仍然有效。下面代码中的Cookie信息将永远有效。

如果maxAge为负数，则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效，关闭窗口后该Cookie即失效。maxAge为负数的Cookie，为临时性Cookie，不会被持久化，不会被写到Cookie文件中。Cookie信息保存在浏览器内存中，因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为–1。

如果maxAge为0，则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法，因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除，

response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie)。

要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie，达到修改的目的。删除时只需要把maxAge修改为0即可。

注意：从客户端读取Cookie时，包括maxAge在内的其他属性都是不可读的，也不会被提交。浏览器提交Cookie时只会提交name与value属性。maxAge属性只被浏览器用来判断Cookie是否过期。

例：

public class CookieDemo01 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {

        //解决中文乱码
        req.setCharacterEncoding("utf-8");
        resp.setContentType("text/html;charset=utf-8");

        PrintWriter out = resp.getWriter();

        //从客户端获取cookie
        Cookie[] cookies = req.getCookies();

        //判断cookie是否存在
        if (cookies != null) {
            out.write("上一次访问的时间是：");
            for (int i = 0; i < cookies.length; i++) {
                Cookie cookie = cookies[i];
                if ("lastTime".equals(cookie.getName())) {
                    //获取cookie中的值
                    long lastTime = Long.parseLong(cookie.getValue());
                    Date date = new Date();
                    out.write(date.toLocaleString());
                }
            }
        } else {
            out.write("这是第一次访问！");
        }

        //服务器给客户端响应一个cookie
        Cookie cookie = new Cookie("lastTime", System.currentTimeMillis() + "");
        //设置cookie的有效期，单位秒
        cookie.setMaxAge(10*60);

        resp.addCookie(cookie);
    }
}

3、Session

3.1、什么是Session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。

3.2、Session常用API

标红的都是常用的API

方法	描述
long getCreationTime()	获取Session被创建时间
String getId()	获取Session的id
long getLastAccessedTime()	返回Session最后活跃的时间
ServletContext getServletContext()	获取ServletContext对象
void setMaxInactiveInterval(int var1)	设置Session超时时间
int getMaxInactiveInterval()	获取Session超时时间
Object getAttribute(String var1)	获取Session属性
Enumeration getAttributeNames()	获取Session所有的属性名
void setAttribute(String var1, Object var2)	设置Session属性
void removeAttribute(String var1)	移除Session属性
void invalidate()	销毁该Session
boolean isNew()	该Session是否为新的

1、使用Session

步骤：

1. 得到Session（req.getSession()）
2. 给Session存东西（setAttribute（name,value））
3. 获取Session的ID（getId()）
4. 判断Session是不是新创建的（inNes方法判断）

public class GetServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //设置请求编码
        req.setCharacterEncoding("utf-8");
        //设置响应编码
        resp.setContentType("text/html;charset=UTF-8");
        PrintWriter out = resp.getWriter();
        //得到Session
        HttpSession session = req.getSession();
        //给session存东西
        req.setAttribute("name","大明");
        // 获取session的ID
        String SessionID = session.getId();
        //判断Session是否已经存在服务器
        if (session.isNew()) {
            out.write("Session创建成功，ID为：" + SessionID);
        } else {
            out.write("Session已经在服务器了，ID是："+SessionID);
        }
    }
}

2、Session的有效期

• Session的有效期是指不活动的时间，如果我们设置是60s,在60s之前，没有访问Session，Session属性失效，若你在60s再次访问过Session，则重新计时。

• 如果重启了tomcat,reload web应用，或者关机了，Session也会失效。如果希望某个Session失效，可以使用removeAttribute()设置。

• Cookie的生命周期按累计的时间来计算的。

• Session在用户第一次访问服务器Servlet,JSP等动态资源时就会被自动创建，Session对象保存在内存里，这也就为什么上面的例子可以直接使用request对象获取得到Session对象。

• 如果访问HTML,IMAGE等静态资源Session不会被创建。

• Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，无论是否对Session进行读写，服务器都会认为Session活跃了一次。

• 由于会有越来越多的用户访问服务器，因此Session也会越来越多。为了防止内存溢出，服务器会把长时间没有活跃的Session从内存中删除，这个时间也就是Session的超时时间。

• Session的超时时间默认是30分钟。有三种方式可以对Session的超时时间进行修改。

1. 在web.xml文件中可以手工配置session的失效时间（单位：分钟）：

  <!-- 设置Session的有效时间:以分钟为单位-->
    <session-config>
        <session-timeout>15</session-timeout>
    </session-config>

————————————————
参考文章