一文了解java Session&Cookie Filter&Listener

Session&Cookie、Filter&Listener

1. Session&Cookie

1.1什么是会话跟踪技术

会话跟踪是Web程序中常⽤的技术，⽤来跟踪⽤户的整个会话。保持对⽤户会话期间的数据管理。常⽤

的会话跟踪技术是Cookie与Session。

Cookie通过在客户端记录信息确定⽤户身份

Session通过在服务器端记录信息确定⽤户身份。

1.2 Cookie

Cookie是客户端(⼀般指浏览器)请求服务器后,服务器发给客户端的⼀个辨认标识，保存在客户端，当客户端再次向服务器发送请求时，会携带着这个辨认标识，服务器就可以通过这个标识来识别客户端的身份或状态等。sessionID存放在cookie，如果浏览器禁用cookie,那session将也被禁用。

Cookie的作⽤：跟踪会话，记录⼀次会话中(即Session，⼀次会话可能会有多次请求，当然也可以有多个Cookie来跟踪不同的信息)的信息，这样服务器就会知道⽤户的状态，⽐如有没有登录成功，付款时购物⻋中的东⻄等，就相当于贴在客户端脑⻔上的纸条，浏览器看不到，但服务器看得到。

1.2.1Cookie的应用

• 保持用户登录状态
• 记录用户名

1.2.2 流程

a.通过HttpServletResponse.addCookie的⽅式设置Cookie

 Cookie cookie = new Cookie("jieguo","true");
 response.addCookie(cookie);

b.在浏览器中可以查看cookie的内容

c.服务端获取客户端携带的cookie：通过HttpServletRequest获取

<% 
 Cookie[] cookies = request.getCookies();
 if(cookies != null)
 for(Cookie c : cookies){
 String name = c.getName();//获取Cookie名称
 if("jieguo".equals(name)){
 String value = c.getValue();//获取Cookie的值
 bool = Boolean.valueOf(value);//将值转为Boolean类型
 }
 }
%>

d.通过设置同名Cookie的最⼤存活时间为0，删除Cookie.浏览器不再保存Cookie，使Cookie⽴即失效.

//1.创建⼀个name为username的Cookie
Cookie cookie = new Cookie("username", "aaa");
//2.设置Cookie的有效时间为0
cookie.setMaxAge(0);//删除cookie的关键,也可以设置其他时间作为cookie的有效时间。
//3.将cookie发送给浏览器，来替换同名Cookie
response.addCookie(cookie);

1.3 Session

Session是另⼀种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，⽽Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

如果说Cookie机制是通过检查客户身上的“通⾏证”来确定客户身份的话，那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建⽴的⼀份客户档案，客户来访的时候只需要查询客户档案表就可以了。

1.3.1 应用

1.登录 2.退出(创建Session和消除Session)

1.3.2 创建

Session对象是在客户端第⼀次请求服务器的时候创建

HttpSession session = request.getSession(); // 获取Session对象
session.setAttribute("loginTime", new Date()); // 设置Session中的属性
out.println("登录时间为：" +(Date)session.getAttribute("loginTime")); // 获取
Session属性

1.3.3生命周期

Session保存在服务器端。为了获得更⾼的存取速度，服务器⼀般把Session放在内存⾥。每个⽤户都会有⼀个独⽴的Session。如果Session内容过于复杂，当⼤量客户访问服务器时可能会导致内存溢出。因此，Session⾥的信息应该尽量精简。

Session在⽤户第⼀次访问服务器的时候⾃动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未⽣成Session，也可以使request.getSession(true)强制⽣成Session。

Session属性Session⽣成后，只要⽤户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。⽤户每访问服务器⼀次，⽆论是否读写Session，服务器都认为该⽤户的Session“活跃（active）”了⼀次。由于会有越来越多的⽤户访问服务器，因此Session也会越来越多。为防⽌内存溢出，服务器会把⻓时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就⾃动失效了。

Session的超时时间为maxInactiveInterval属性，可以通过对应的getMaxInactiveInterval()获取，通过setMaxInactiveInterval(longinterval)修改。

Session的超时时间也可以在web.xml中修改。另外，通过调⽤Session的invalidate()⽅法可以使Session失效。

<session-config> 
 <session-timeout>30</session-timeout>
</session-config>

1.4 session和cookie区别

(1) Cookie数据保存在客户端，Session数据保存在服务器端。

(2) Session是由应⽤服务器维持的⼀个服务器端的存储空间，⽤户在连接服务器时，会由服务器⽣成⼀ 个唯⼀的SessionID,⽤该SessionID 为标识符来存取服务器端的Session存储空间。⽽SessionID这⼀数据则是保存到客户端，⽤Cookie保存的，⽤户提交⻚⾯时，会将这⼀SessionID提交到服务器端，来存取Session数据。这⼀过程，是不⽤开发⼈员⼲预的。所以⼀旦客户端禁⽤Cookie，那么Session也会失效。

(3) Cookies是属于Session对象的⼀种。但有不同，Cookies不会占服务器资源，是存在客服端内存或者 ⼀个Cookie的⽂本⽂件中；⽽Session则会占⽤服务器资源。所以，尽量不要使⽤Session，⽽使⽤Cookies。但是我们⼀般认为Cookie是不可靠的，Cookies是保存在本机上的，但是其信息的完全可⻅性且易于本地编辑性，往往可以引起很多的安全问题Session是可靠地。但是⽬前很多著名的站点也都⽤Cookie

2. 过滤器（Filter）

过滤器实际上就是对web资源进⾏拦截，做⼀些处理后再交给下⼀个过滤器或servlet处理，通常都是⽤来拦截request进⾏处理的，也可以对返回的response进⾏拦截处理.

2.1过滤器的语法格式

过滤器的生命周期如下，在servlet容器开始运行的时候，就会开始进行init. 然后创建servlet实例后，servlet实例init, 然后每次请求后，Filter开始过滤. servlet容器实例停止运行时，销毁过滤器。

2.1.1创建一个类实现Filter接口

public class CharSetFilter implements Filter{}

2.1.2 重写接口中的方法init() doFilter() destroy()

public void destroy() { //销毁的⽅法}
public void doFilter(ServletRequest req, ServletResponse resp, FilterChain
chain) throws ServletException, IOException {
 //过滤⽅法 主要是对request和response进⾏⼀些处理，然后交给下⼀个过滤器或
Servlet处理
 chain.doFilter(req, resp);
 }
 public void init(FilterConfig config) throws ServletException {
 /*初始化⽅法 接收⼀个FilterConfig类型的参数 该参数是对Filter的⼀些配置*/
 }

2.1.3 在web.xml文件中配置

<filter>
 <filter-name>过滤器名称</filter-name>
 <filter-class>过滤器所在的路径</filter-class>
 </filter>
 <filter-mapping>
 <filter-name>过滤器名称</filter-name>
 <url-pattern>需要过滤的资源</url-pattern>
 </filter-mapping>

多个filter按xml中配置的顺序进行

3 监听器

监听器就是监听某个域对象的的状态变化的组件

监听器的相关概念：

事件源：被监听的对象(三个域对象 request、session、servletContext)

监听器：监听事件源对象事件源对象的状态的变化都会触发监听器

注册监听器：将监听器与事件源进⾏绑定

响应⾏为：监听器监听到事件源的状态变化时所涉及的功能代码（程序员编写代码）

3.1 监听器分类

第⼀维度按照被监听的对象划分：ServletRequest域、HttpSession域、ServletContext域

第⼆维度按照监听的内容分：监听域对象的创建与销毁的、监听域对象的属性变化的

3.2 监听器的编写步骤

编写⼀个监听器类去实现监听器接⼝

覆盖监听器的⽅法

需要在web.xml中进⾏配置—注册

 <listener>
 <listener-class>监听器所在的路径</listener-class> 
</listener>

3.3 监听三大域对象的创建和与销毁的监听器

• ServletContextListener

监听ServletContext域的创建与销毁的监听器

• Servlet域的⽣命周期

何时创建：服务器启动创建

何时销毁：服务器关闭销毁

• ServletContextListener监听器的主要作⽤

初始化的⼯作：初始化对象、初始化数据（加载数据库驱动、连接池的初始化）

加载⼀些初始化的配置⽂件(spring的配置⽂件）

任务调度(定时器—Timer/TimerTask）

• HttpSessionListener

监听Httpsession域的创建和销毁的监听器

• HttpSession对象的⽣命周期

何时创建：第⼀次调⽤request.getSession时创建

何时销毁：服务器关闭销毁、session过期（默认30分钟，修改默认的30分钟是在

• Tomcat的web.xml，修改当前项⽬的过期时间是在⾃⼰项⽬的web.xml中）、⼿动销毁
• HttpSessionListener监听器的主要作⽤：

由于每次访问⽹站都会默认创建session对象（jsp⻚⾯中page指令中的session属性默认为true，即被访问时创建session），可以⽤于计数⽹站访问过的⼈

• ServletRequestListener

监听ServletRequest域创建与销毁的监听器

• ServletRequest的⽣命周期

创建：每⼀次请求都会创建request

销毁：请求结束

⽤法同上，⽤处不是很⼤，此处省略。