Cookie
Cookie是什么?(What)
Cookie是一项在Web请求中,基于客户端的用于存储数据的技术
为什么要用Cookie?(Why)
我们知道HTTP协议是一种无状态的协议,服务端无法区分每个请求对应的是哪个用户.Cookie就是为了解决这个问题而生的,它通过在浏览器端存储一些数据,在请求时附加到请求头中,这样服务端一读请求头就知道了这次请求是哪个用户发起的.
什么情况下要使用Cookie?(When)
Cookie的使用分为在业务程序中显式使用和通过容器隐式使用
- 显式使用:当我们有一些安全性要求不高,数据量不大的用户数据需要存储时,可以考虑使用Cookie
- 隐式使用:首次访问JSP,Servlet时,Servlet容器会自动往响应头中添加一个Cookie(Tomcat中是JSESSIONID)
怎样使用Cokie?(How)
cookie创建
// 两种方法
// 1. 构造时将数据传入
Cookie cookie = new Cookie("key", "value");
// 除了核心的数据之外,我们还可以设置一些其他属性
// 1. 设置过期时间
cookie.setMaxAge(60); //单位:秒(60秒后,Cookie会自动删除)
// 2. 设置Domain
cookie.setDomain("www.baidu.com"); // 代表只有访问www.baidu.com这个域名下的请求,才能获取到此Cookie
cookie.setDomain(".baidu.com"); // 代表所有www.baidu.com下的二级域名包括www.baidu.com这个一级域名都可以共享此Cookie(注意这种情况下domain必须以"."开头)
// 3. 设置Path
cookie.setPath("/StudentServlet"); // 一旦设置了Path,那么要获取Cookie,当前的请求地址必须满足Path的规则,否则获取不到此Cookie http://xxx:port/student/StudentServlet/getstu/3
cookie添加
// 使用响应对象写入浏览器
reponse.addCookie(cookie); //本质上会在响应中添加一个Set-Cookie响应头。
cookie删除
// Cookie没有delete方法
// 我们可以通过设置过期时间为0实现删除
Cookie cookie = new Cookie("key", "");
cookie.setMaxAge(0);
response.addCookie(cookie);
cookie修改
// Cookie的修改其实就是覆盖添加
// 具体来说分三步
// 1. 先获取已有Cookie,
// 2. 然后修改其中的数据,
// 3. 最后调用response.addCookie()重新添加到浏览器,浏览器看到Key相同的Cookie会自动更新
获取cookie中的数据
// 1. 先通过请求对象获取请求中携带的所有Cookie数组
Cookie[] cookies = request.getCookies();
// 2. 迭代Cookie数组,寻找要操作的Cookie
for(Cookie cookie : cookies) {
// 根据cookie.getName()判断是否是自己要获取数据的cookie
String cookieName = c.getName();
String cookieValue = c.getValue();
System.out.println(cookieName + " = "+ cookieValue);
// 3. 找到后,调用cookie.getValue()获取数据
}
Cookie有效时间
1.会话Cookie
默认情况下,关闭了浏览器,那么Cookie就会消失.
这是默认的行为,但是大部分现代的浏览器都不会这么做,比如chrome浏览器,默认打开时会恢复上次关闭时的状态,所有关闭浏览器Cookie并不会失效,我们可以设置浏览器打开时不恢复上次状态,改为打开新的标签页即可.
2.持久Cookie
通过设置MaxAge指定存活时间,在存活时间内,都有效,并且会保存在客户端上.
cookie.setMaxAge(0); //设置立即删除
cookie.setMaxAge(100); //100 秒
cookie不能直接存储中文,需要做转码
Session
Session是什么?(What)
Session和Cookie类似,都是用来存储用户信息的.不同于Cookie的是Session是存储在服务端.他们两者通过JSESSIONID关联起来
为什么要用Session?(Why)
虽然Cookie已经可以标识出哪个请求属于哪个用户的,但是不足的是Cookie本身是存储在客户端硬盘上,安全性不高,不适合存储敏感数据,还有Cookie本身能存储的数据有限(数据大小本身限制,数据类型限制,字符集限制).而存储在服务器的Session完全没有这些问题.
什么情况下要用Session?(Why)
Session可以用来存储用户的所有信息,理论上所有能在Cookie中存储的数据都可以放到Session中,考虑到Session是基于内存的,如果存储太多不太重要的数据会大大增加服务器内存压力,一般Session会配合Cookie一起使用.
怎样使用Session?(How)
创建Session
// Session是由容器自动创建的,我们可以在代码中直接获取Sesssion
HttpSession session = request.getSession();
往Session中存储数据
session.setAttribute(name,value);
获取Session中的数据
session.getAttribute(name);
修改Session中的数据
// 修改Session中的数据和修改Cookie中的数据类似,都是覆盖添加
// 1. 获取要修改的数据
Object data = session.getAttribute("key");
// 2. 修改数据对应的属性
data.setXXX();
// 3. 将修改后的数据重新存入Session
session.setAttribute("key", data);
让Session失效
session.invalidate(); //调用后session对象会失效,同时客户端Cookie中的JSESSIONID也会发生变化
//从Session中移除某一个数据
session.removeAttribute("chat");
Cookie与Session的联系
- Cookie数据存放到客户端(浏览器),Session存放到服务端.
- Cookie存放的数据大小有限制,不能超过4K;很多浏览器都限制限制一个站点最多保存20个Cookie.
- Cookie由于存放在客户端硬盘上,所有相较于Session来说安全性低一点.
- Cookie的失效时间是通过setMaxAge来设置,Session是通过setInactiveInterval方法设置
- Cookie中只能存储字符串的值,而且还不能中文.而Session中可以存储任意语言的字符串,或者Java中的所有类型
- Cookie是由程序员在业务代码中自己创建的,而Session是由容器创建的.
HTTP协议本身是无状态的,也就是说服务端无法通过一个请求判断出谁是谁,而Session作为服务器跟踪用户状态的一项技术,在整个容器中存在很多份数据.如何知道一个请求进来应该拿哪份数据这是个问题,那么要解决这个问题,我们需要在请求中添加一个标识,Cookie技术就解决了这个问题,具体来说,Tomcat会在浏览器第一次访问JSP,Servlet时分配一个独一无二的Cookie标识(JSESSONID),写到浏览器端,后续每次请求时,浏览器会携带这个标识,进而服务端就可以区分出来谁是谁,然后拿对应的Session数据