JavaWeb-会话跟踪、过滤器和监听器

Cookie和Session

会话跟踪技术

会话跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。保持对用户会话期间的数据管理。常用的会话跟踪技术是Cookie与Session。

Cookie通过在客户端记录信息确定用户身份

Session通过在服务器端记录信息确定用户身份。

Cookie

Cookie是客户端(一般指浏览器)请求服务器后,服务器发给客户端的一个辨认标识，保存在客户端，当客户端再次向服务器发送请求时，会携带着这个辨认标识，服务器就可以通过这个标识来识别客户端的身份或状态等。

 

Cookie的作用：跟踪会话，记录一次会话中(即Session，一次会话可能会有多次请求，当然也可以有多个Cookie来跟踪不同的信息)的信息，这样服务器就会知道用户的状态

比如有没有登录成功，付款时购物车中的东西等，就相当于   贴在客户端脑门上的纸条，浏览器看不到，但服务器看得到。

应用：

1、保持用户登录状态

将用户的信息保存到Cookie中，并发送给浏览器，并且将有效时间设置为一个较长的时间，这样浏览器在以后访问  网站时，都会带着该Cookie，服务器以此来辨识用户，用户就不再需要输入用户名和密码等信息。

2、记录用户名

一旦用户登录成功以后，下次再登录时，直接将Cookie中的用户名读取并显示出来，这样用户就不需要再次输入  用户名，只输入密码即可。

 

Cookie的设置和获取

添加的时候用response对象，获取的时候用request对象

。

Cookie的有效时间

Cookie发送给浏览器以后，浏览器并不会永久保存，也就是到了一定的时间以后浏览器会自动销毁Cookie。Cookie的默认有效时间为一次会话(一次打开关闭浏览器的过程)，我们也可以手动指定Cookie的有效时间。

//setMaxAge用来设置Cookie的最大有效时间，需要int型的参数，代表有效的秒数

cookie.setMaxAge(秒数)；

//当参数大于0时，会设置为指定的秒数

cookie.setMaxAge(30);

//当参数等于0时,浏览器不会保存Cookie,Cookie立即失效

cookie.setMaxAge(0);

//当参数小于0时，和不设置是一样，当前会话有效

cookie.setMaxAge(-100);

//设置一个永久有效的Cookie，并非永久，只是使Cookie的生命很长而已cookie.setMaxAge(60*60*24*365*10);

举例：

说明，每次登录错误后，重新跳回当前页面时，原来输入的会消失，这里我们使用cookie把之前输错的存起来，重新跳回后又显示出来。

Session

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。

客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询  客户档案表就可以了。

应用场景：

1.登录 2.退出(创建Session和消除Session)

创建Session

每个来访者对应一个Session对象，所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。

Session也是一种key-value的属性对，通过getAttribute(Stringkey)和setAttribute(String key，Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的 Session

HttpSession session = request.getSession(); // 获取Session对象

session.setAttribute("loginTime", new Date()); // 设置Session中的属性

out.println("登录时间为：" +(Date)session.getAttribute("loginTime")); // 获取Session属性

Session的生命周期

Session保存在服务器端。为了获得更高的存取速度，服务器一般把Session放在内存里。每个用户都会有一个独立 的Session。如果Session内容过于复杂，当大量客户访问服务器时可能会导致内存溢出。因此，Session里的信息应该尽量精简。

Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session，只   访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session，也可以使request.getSession(true)强制生成Session。

Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。用户每访问服 务器一次，无论是否读写Session，服务器都认为该用户的Session“活跃（active）”了一次。

由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间内没有活   跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。

Session的超时时间为maxInactiveInterval属性

可以通过对应的getMaxInactiveInterval()获取

通过setMaxInactiveInterval(longinterval)修改。

通过调用Session的invalidate()方法可以使Session失效。

Session的超时时间也可以在web.xml中修改。

<session-config>

<session-timeout>30</session-timeout>

</session-config>

举例：

登录成功后，显示欢迎用户。并且不只是在/success.jsp可以使用，在其他页面也可以使用。并且退出后，使session失效

Session和Cookie的区别

1、Cookie数据保存在客户端，Session数据保存在服务器端。

2、Session是由应用服务器维持的一个服务器端的存储空间，用户在连接服务器时，会由服务器生成一个唯一的SessionID,用该SessionID 为标识符来存取服务器端的Session存储空间。而SessionID这一数据则是保存到客户端，用Cookie保存的，用户提交页面时，会将这一SessionID提交到服务器端，来存取Session数据。这一过程，是 不用开发人员干预的。所以一旦客户端禁用Cookie，那么Session也会失效。

3、Cookies是属于Session对象的一种。但有不同，Cookies不会占服务器资源，是存在客服端内存或者一个 Cookie的文本文件中；而Session则会占用服务器资源。所以，尽量不要使用Session，而使用Cookies。但是我们一般认为Cookie是不可靠的，Cookies是保存在本机上的，但是其信息的完全可见性且易于本地编辑性，往往可以 引起很多的安全问题Session是可靠地。但是目前很多著名的站点也都用Cookie。

4、session相对于cookie更安全，cookie一般存储少量不太敏感的数据。

过滤器（Filter）

过滤器实际上就是对web资源进行拦截，做一些处理后再交给下一个过滤器或servlet处理，通常都是用来拦截request进行处理的，也可以对返回的response进行拦截处理

使用：

1、实现Filter接口
 

public class CharSetFilter implements Filter {}

 

2、重写接口的方法

 

public void destroy () {

    // 销毁的方法

}

 

public void doFilter ( ServletRequest req , ServletResponse resp , FilterChain chain ) throws   ServletException , IOException {

    // 过滤方法 主要是对 request 和 response 进行一些处理，然后交给下一个过滤器或 Servlet 处理

   chain . doFilter ( req , resp );

}

 

public void init ( FilterConfig config ) throws ServletException {

    // 初始化方法 接收一个 FilterConfig 类型的参数 该参数是对 Filter 的一些配置

}

 

3、在web.xml文件中配置

 

<filter>

    <filter-name>过滤器名称</filter-name>

    <filter-class>过滤器所在的路径</filter-class>

</filter>

<filter-mapping>

    <filter-name>过滤器名称</filter-name>

    <url-pattern>需要过滤的资源</url-pattern>

</filter-mapping>

 也可以使用注解配置

常用配置项
urlPatterns
配置要拦截的资源

1. 以指定资源匹配。例如"/index.jsp"
2. 以目录匹配。例如"/servlet/*"
3. 以后缀名匹配，例如"*.jsp"
4. 通配符，拦截所有web资源。"/*"

initParams 
配置初始化参数，跟Servlet配置一样

dispatcherTypes 

配置拦截的类型，可配置多个。默认为DispatcherType.REQUEST

例如：dispatcherTypes = {DispatcherType.ASYNC,DispatcherType.ERROR}

FORWARD,//转发的

INCLUDE,//包含在页面的

REQUEST,//请求的

ASYNC,//异步的

ERROR;//出错的

例子：字符集编码处理的过滤器

例子：防止用户没有登录就执行后续操作

多个Filter的执行顺序

在我们的请求到达Servle之间是可以经过多个Filter的，一般来说，建议Filter之间不要有关联，各自处理各自的逻辑即可。这样，我们也无需关心执行顺序问题。
如果一定要确保执行顺序，就要对配置进行修改了，执行顺序如下

1. 在web.xml中，filter执行顺序跟<filter-mapping>的顺序有关，先声明的先执行
2. 使用注解配置的话，filter的执行顺序跟名称的字母顺序有关，例如AFilter会比BFilter先执行
3. 如果既有在web.xml中声明的Filter，也有通过注解配置的Filter，那么会优先执行web.xml中配置的Filter

监听器

监听器就是监听某个域对象的的状态变化的组件

 

监听器的相关概念：

 

事件源：被监听的对象(三个域对象 request、session、servletContext)

监听器：监听事件源对象事件源对象的状态的变化都会触发监听器

注册监听器：将监听器与事件源进行绑定

响应行为：监听器监听到事件源的状态变化时所涉及的功能代码（程序员编写代码）