- 状态管理-Cookie
1.1. 状态管理
1.1.1. 为什么需要状态管理
Web应用程序使用HTTP协议作为传输数据的标准协议,而HTTP协议是无状态协议,即一次请求对应一次响应,响应结束后连接即断开,状态管理能够做到不同客户端的身份识别。
1.1.2. 什么是状态管理
将客户端与服务器之间多次交互当做一个整体来看待,并且将多次交互中涉及的数据保存下来,提供给后续的交互进行数据的管理即状态管理。
这里的状态指的是当前的数据,管理指的是在这个多次交互的过程中对数据的存储、修改、删除。
1.1.3. 状态管理两种常见模式
状态管理的过程中重要的是数据的保存,只有存下来的数据才能在多次交互中起到记录的作用,所以可以按照管理的数据的存储方式和位置的不同来区分状态管理的模式。
如果将数据存储在客户端,每次向服务器端发请求时都将存在客户端的数据随着请求发送到服务器端,修改后再发回到客户端保存的这种模式叫做Cookie。
如果将数据存储在服务器端,并且为这组数据标示一个编号,只将编号发回给客户端。当客户端向服务器发送请求时只需要将这个编号发过来,服务器端按照这个编号找到对应的数据进行管理的这种模式叫做Session——会话。
1.2. Cookie
1.2.1. 什么是Cookie
一小段文本信息随着请求和响应,在客户端和服务器端之间来回传递。根据设定的时间来决定该段文本在客户端保存时长的这种工作模式叫做Cookie。最初服务器将信息发给客户端时是通过响应数据的Set-Cookie头信息来完成的。
1.2.2. Cookie的原理
如果客户端向服务器端AddServlet发送请求,遇到创建Cookie的代码时,那么一小段文本信息就会随着response响应中的头信息被传递会客户端。当文本信息到达客户端以后,会被保存在客户端的内存或硬盘上,存在内存中会随着内存的释放而消失,存在硬盘上则会保存更长的时间。
一旦客户端存有服务器发回的文本信息,那么当浏览器再次向服务器发起请求时,如请求FindServlet这个组件,那么存储的文本信息会随着请求数据包的消息头以Cookie:uname=xxx这样的形式将文本信息发送到服务器端。只要Cookie的生命周期没有结束,那么不管是存在内存还是硬盘上的信息都会在客户端向服务器端发出请求时自动的随着消息头发送过去。
1.2.3. 如何创建Cookie
Servlet API提供了javax.servlet.http.Cookie这种类型来解释Cookie。其中存储的文本以name-value对的形式进行区分,所以创建Cookie时指定name-value对即可。这个name-value最终是以Set-Cookie这种消息头的形式跟随相应数据包到达客户端,所以要想将数据添加到消息头中需要使用response对象提供的方法。
创建Cookie的代码如下所示:
01.Cookie c = new Cookie(String name,String value);
02.response.addCookie( c );
代码中的第一行实现了这段name-value对的文本的创建。
代码中的第二行执行的效果就是在响应数据包中追加一个Set-Cookie的消息头。如果发送了相同name的Cookie数据,那么之前的数据会被覆盖。能够创建多少个Cookie存放在客户端与当前浏览器的种类相关。
1.2.4. 如何查询Cookie
当客户端向服务器发出请求时,服务器端可以尝试着从请求数据包的消息头中获取是否携带了Cookie信息。实现这一功能的代码如下:
01.Cookie[] request.getCookies();
由于客户端是可以存放多个Cookie的,所以request提供的获取Cookie的方法的返回值是Cookie数组,如果想进一步获取某一个Cookie信息可以通过遍历数组,分别获取每一个Cookie的name和value。代码如下:
01.Cookie[] cookies = request.getCookies();
02.if(cookies!=null){
03. for(Cookie c : cookies){
04. String cookieName = c.getName();
05. String cookieValue = c.getValue();
06. }
07.}
1.2.5. 如何修改Cookie
所谓Cookie的修改,本质是获取到要变更值的Cookie,通过setValue方法将新的数据存入到cookie中,然后由response响应对象发回到客户端,对原有旧值覆盖后即实现了修改。主要实现代码:
01.Cookie[] cookies = request.getCookies();
02.if(cookies!=null){
03. for(Cookie c : cookies){
04. String cookieName = c.getName();
05. if(name.equals(“uname”)){
06. c.setValue(“Mark”);
07. response.addCookie( c );
08. }
09.}
其中response.addCookie(c)是非常重要的语句,如果没有这一行代码,那么就算是使用setValue方法修改了Cookie的值,但是不发回到客户端的话,也不会实现数值的改变。所以只要见到response.addCookie这行代码,即服务器端发回了带有Set-Cookie消息头的信息。
1.2.6. Cookie的生存时间
默认情况下,Cookie会被浏览器保存在内存中,此时Cookie的生命周期由浏览器决定,只要不关闭浏览器Cookie就会一直存在。
如果希望关闭浏览器后Cookie仍存在,则可以通过设置过期时间使得Cookie存在硬盘上得以保存更长的时间。
设置Cookie的过期时间使用如下代码:
01.void setMaxAge(int seconds);
该方法是Cookie提供的实例方法。参数seconds的单位为秒,但精度不是很高。
seconds > 0 :代表Cookie保存在硬盘上的时长
seconds = 0 : 代表Cookie的生命时长为现在,而这一刻稍纵即逝,所以马上Cookie就等同于过了生存时间,所以会被立即删除。这也是删除Cookie的实现方式。
seconds < 0 :缺省值,浏览器会将Cookie保存在内存中。
以下代码实现了Cookie保存在硬盘上40秒:
08.public class AddCookieServlet extends HttpServlet {
10. public void service(HttpServletRequest request,
11.HttpServletResponse response)throws ServletException, IOException {
13. response.setContentType("text/html;charset=utf-8");
15. PrintWriter out = response.getWriter();
16. //创建cookie
17. Cookie c = new Cookie("username","Lisa");
18. c.setMagAge(40);
19. Cookie c2 = new Cookie("city","NewYork");
20. response.addCookie(c);
21. response.addCookie(c2);
22. out.close();
23. }
25.}
1.2.7. Cookie编码
Cookie作为在网络传输的一段字符串文本,只能保存合法的ASCII字符,如果要保存中文需要将中文变成合法的ASCII字符,即编码。使用如下代码可以实现将中文保存到Cookie中。
01.Cookie c = new Cookie("city",URLEncoder.encode("北京","utf-8"));
1.2.8. Cookie解码
服务器读取客户端经过编码之后的信息时,要想能够正确显示需要将信息解码后才能输出。使用URLDecoder的decode()方法即可。
1.3. Cookie的路径问题
1.3.1. 什么是Cookie的路径问题
客户端存储Cookie之后,并不是针对同一个应用访问任何资源时都自动发送Cookie到服务器端,而是会进行路径的判断。只有符合路径规范的请求才会发送Cookie到服务器端。
客户端在接受Cookie时会为该Cookie记录一个默认路径,这个路径记录的是添加这个Cookie的Web组件的路径。如,当客户端向 http://localhost:8080/test/file/addCookie.jsp发送请求时创建了cookie,那么该cookie的路径就是 /test/file.
1.3.2. 什么时候发送Cookie
只有当访问的地址是Cookie的路径或者其子路径时,浏览器才发送Cookie到服务器端。
如,Cookie的路径是 /test/file,那么如果访问的是 /test/file/a.jsp 或者 /test/file/b/c.jsp时,都会发送Cookie。
如果访问的是 /test/d.jsp,则浏览器不会发送Cookie。
1.3.3. 如何设置Cookie的路径
设置Cookie的路径可以使用Cookie的API方法,setPath(String uri);
如以下代码就实现了设置Cookie的路径为应用的顶级目录,这样所有资源路径要么与此路径相等,要么是子路径,从而实现了客户端发送任何请求时都会发送Cookie。
01.Cookie c = new Cookie(“uname”,“jack”);
02.c.setPath(“/test”);
03.response.addCookie(c);
1.3.4. Cookie的限制
Cookie由于存放的位置在客户端,所以可以通过修改设置被用户禁止。Cookie本质就是一小段文本,一小段说的是只能保存少量数据,长度是有限制的,一般为4kb左右。文本说的是只能保存字符串,不能保留复杂的对象类型数据。
作为网络中传输的内容,Cookie安全性很低,非常容易通过截取数据包来获取,在没有加密的情况下不要用于存放敏感数据。
就算是能够存放的长度很短,但作为网络中传输的内容也会增加网络的传输量影响带宽。在服务器处理大量请求的时候,Cookie的传递无疑会增加网络的负载量。
- cookie和session的区别(面试题)
•cookie存储在浏览器上,服务器压力小,不安全
•session存储在服务器上,服务器压力大,安全
- 状态管理-Session
1.1. Session
1.1.1. 什么是Session
服务器为不同的客户端在内存中创建了用于保存数据的Session对象,并将用于标识该对象的唯一Id发回给与该对象对应的客户端。当浏览器再次发送请求时,SessionId也会被发送过来,服务器凭借这个唯一Id找到与之对应的Session对象。在服务器端维护的这些用于保存与不同客户端交互时的数据的对象叫做Session。
1.1.2. Session工作原理
浏览器第一次访问服务器时,服务器会为该客户端分配一块对象空间,并且使用不同的SID来进行标识,该标识SID会随着响应发回到客户端,且被保存在内存中。当同一个客户端再次发送请求时,标识也会被同时发送到服务器端,而服务器判断要使用哪一个Session对象内的数据时,就会根据客户端发来的这个SID来进行查找。
1.1.3. 如何获得Session
获得session有两种情况,要么请求中没有SID,则需要创建;要么请求中包含一个SID,根据SID去找对应的对象,但也存在找到找不到的可能。但不管哪种情况都依赖于请求中的这个唯一标识,虽然对于编程人员来讲不需要去查看这个基本不会重复、编号很长的标识,但要想获取到与客户端关联的这个session对象一定要基于请求,所以在Request类型的API中包含获取到session对象的方法,代码如下所示:
01.HttpSession s = request.getSession(boolean flag);
02.HttpSession s = request.getSession( );
使用第一种获取session对象的方法时,
flag = true:先从请求中找找看是否有SID,没有会创建新Session对象,有SID会查找与编号对应的对象,找到匹配的对象则返回,找不到SID对应的对象时则会创建新Session对象。所以,填写true就一定会得到一个Session对象。
flag= false:不存在SID以及按照SID找不到Session对象时都会返回null,只有根据SID找到对应的对象时会返回具体的Session对象。所以,填写false只会返回已经存在并且与SID匹配上了的Session对象。
request.getSession()方法不填写参数时等同于填写true,提供该方法主要是为了书写代码时更方便,大多数情况下还是希望能够返回一个Session对象的。
1.1.4. 如何使用Session绑定对象
Session作为服务器端为各客户端保存交互数据的一种方式,采用name-value对的形式来区分每一组数据。向Session添加数据绑定的代码如下:
01.void session.setAttribute(String name,Object obj);
获取绑定数据或移除绑定数据的代码如下:
01.void session.getAttribute(String name);
02.void session.removeAttribute(String name);
Session对象可以保存更复杂的对象类型数据了,不像Cookie只能保存字符串。
1.1.5. 如何删除Session对象
如果客户端想删除SID对应的Session对象时,可以使用Session对象的如下方法:
01.void invalidate()
该方法会使得服务器端与该客户端对应的Session对象不再被Session容器管理,进入到垃圾回收的状态。对于这种立即删除Session对象的操作主要应用于不再需要身份识别的情况下,如登出操作。
1.2. Session超时
1.2.1. 什么是Session超时
Session会以对象的形式占用服务器端的内存,过多的以及长期的消耗内存会降低服务器端的运行效率,所以Session对象存在于内存中时会有默认的时间限制,一旦Session对象存在的时间超过了这个缺省的时间限制则认为是Session超时,Session会失效,不能再继续访问。
Web服务器缺省的超时时间设置一般是30分钟。
1.2.2. 如何修改Session的缺省时间限制
有两种方式可以修改Session的缺省时间限制,编程式和声明式。
编程式:
01.void setMaxInactiveInterval(int seconds)
声明式:
01.<session-config>
02. <session-timeout>30</session-timeout>
03.</session-config>
使用声明式来修改缺省时间,那么该应用创建的所有Session对象的生命周期都会应用这个规定的时间,单位为分钟。
使用编程式来修改缺省时间只会针对调用该方法的Session对象应用这一原则,不会影响到其他对象,所以更灵活。通常在需要特殊设置时使用这种方式。时间单位是秒,与声明式的时间单位不同。
1.2.3. Session验证
Session既然区分不同的客户端,所以可以利用Session来实现对访问资源的保护。如,可以将资源划分为登录后才能访问。Session多用于记录身份信息,在保护资源被访问前可以通过判断Session内的信息来决定是否允许。这是依靠Session实现的验证。
使用Session实现验证的步骤如下:
步骤一、为Session对象绑定数据,代码如下:
01.HttpSession s = request.getSession();
02.s.setAttribute(“uname”,“Rose”);
步骤二、读取Session对象中的绑定值,读取成功代表验证成功,读取失败则跳转回登录页面。
01.HttpSession s = request.getSession();
02.if(s.getAttribute(“uname”)==null){
03. response.sendRedirect(“logIn.jsp”);
04.}else{
05. //… …
06.}
1.2.4. Session优缺点
Session对象的数据由于保存在服务器端,并不在网络中进行传输,所以安全一些,并且能够保存的数据类型更丰富,同时Session也能够保存更多的数据,Cookie只能保存大约4kb的字符串。
Session的安全性是以牺牲服务器资源为代价的,如果用户量过大,会严重影响服务器的性能。
1.2.5. 浏览器禁用Cookie的后果
Session对象的查找依靠的是SID,而这个ID保存在客户端时是以Cookie的形式保存的。一旦浏览器禁用Cookie,那么SID无法保存,Session对象将不再能使用。
为了在禁用Cookie后依然能使用Session,那么将使用其他的存储方法来完成SID的保存。URL地址在网络传输过程中不仅仅能够起到标示地址的作用,还可以在其后携带一些较短的数据,SID就可以通过URL来实现保存,及URL重写。
1.2.6. 什么是URL重写
浏览器在访问服务器的某个地址时,会使用一个改写过的地址,即在原有地址后追加SessionID,这种重新定义URL内容的方式叫做URL重写。
如:原有地址的写法为http://localhost:8080/test/some
重写后的地址写法为http://localhost:8080/test/some;jsessionid=4E113CB3
1.2.7. 如何实现URL重写
生成链接地址和表单提交时,使用如下代码:
01.<a href=”<%=response.encodeURL(String url)>”>链接地址</a>
如果是重定向,使用如下代码代替response.sendRedirect()
01.response.encodeRedirectURL(String url);
扫一扫
347
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
