Session和cookie都是会话(Seesion)跟踪技术。Cookie通过在客户端记录信息确定用户身份,Session通过在服务器端记录信息确定用户身份。但是Session的实现依赖于Cookie,sessionId(session的唯一标识需要存放在客户端).
cookie 和session 的区别:
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用COOKIE。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
cookie:
1、服务器怎么将Cookie设置到浏览器客户端:
创建Cookie
Cookie cookie = new Cookie(cookieName, cookieValue);
例子:
Cookie cookie = new Cookie(“goods”, “IPhone”);
resp.addCookie(cookie);
Cookie会以响应头的形式发送给浏览器客户端。
Cookie中不能存中文。
2、服务器怎么接受客户端携带的Cookie
cookie信息是以请求头的方式发送到服务器端的:
1)通过request获得所有的Cookie:
Cookie[] cookies = request.getCookies();
2)遍历Cookie数组,通过Cookie的名称获得我们想要的Cookie
protected void service(HttpServletRequest req, HttpServletResponse resp) {
Cookie[] cookies = req.getCookies();
for (Cookie cookie : cookies) {
System.out.println("name: " + cookie.getName() + ", value: " + cookie.getValue());
}
}
Session:
Cookie的局限:
1)Cookie只能存字符串类型。不能保存对象
2)不能存中文。
3)1个Cookie的容量不超过4KB。
如果要保存非字符串,超过4kb内容,只能使用session技术!!!
Session特点:会话数据保存在服务器端。(内存中)
Session技术是将数据存储到服务器端的技术,会为每个客户端都创建一块内存空间存储客户的数据,
但客户端需要每次携带一个标识的ID:JSESSIONID去服务器寻找自己的内存空间。
所以说Session技术是基于Cookie技术的,Session需要借助于Cookie存储客户的唯一标识JSESSIONID。
1.获得Session对象
两中getSession方法:
HttpSession session = request.getSession(true) / request.getSession(false) :
request.getSession(false):得到session对象。原来有Session就直接返回,没有返回null
request.getSession(true):创建或得到session对象。原来有Session就直接返回,没有Session自动创建新的session对象。
此方法会获得专属于当前会话的Session对象,如果服务器端没有该会话的Session 对象会创建一个新的Session返回,如果已经有了属于该会话的Session直接将已有的Session返回(实质就是根据JSESSIONID判断该客户端是否在服务器上已经存在 session了)
request.getSession();不加参数默认就是true。
2.怎样向session中存取数据
Session也是存储数据的区域对象,所以session对象也具有如下三个方法:
session.setAttribute(String name,Object obj);
session.getAttribute(String name);
session.removeAttribute(String name);
3.Session对象的生命周期
创建:第一次执行request.getSession()时创建
销毁:
1)服务器关闭时
2)session过期/失效(默认30分钟)
如果不停的清空客户端的sessionid,然后在请求,就会在服务器产生很多的垃圾session区域,浪费资源。
void setMaxInactiveInterval(int interval) : 设置session的有效时间
session对象销毁时间:
1、 默认情况30分服务器自动回收
2、 修改session回收时间
3、 全局修改session有效时间
问题:时间的起算点 从何时开始计算30分钟?
从不操作服务器端的资源开始计时
可以在工程的web.xml中进行配置
3)手动销毁session (注销或者退出)
session.invalidate();
默认在一次会话中,也就是说在,一次会话中任何资源公用一个session对象
所以个人建议:
将登陆信息等重要信息存放为session
其他信息如果需要保留,可以放在cookie中,比如购物车
购物车最好使用cookie,但是cookie是可以在客户端禁用的,这时候我们要使用cookie+数据库的方式实现,当从cookie中不能取出数据时,就从数据库获取。