Cookie&Session

Cookie

Cookie是什么?(What)

Cookie是一项在Web请求中,基于客户端的用于存储数据的技术

为什么要用Cookie?(Why)

我们知道HTTP协议是一种无状态的协议,服务端无法区分每个请求对应的是哪个用户.Cookie就是为了解决这个问题而生的,它通过在浏览器端存储一些数据,在请求时附加到请求头中,这样服务端一读请求头就知道了这次请求是哪个用户发起的.

什么情况下要使用Cookie?(When)

Cookie的使用分为在业务程序中显式使用和通过容器隐式使用

• 显式使用:当我们有一些安全性要求不高,数据量不大的用户数据需要存储时,可以考虑使用Cookie
• 隐式使用:首次访问JSP,Servlet时,Servlet容器会自动往响应头中添加一个Cookie(Tomcat中是JSESSIONID)

怎样使用Cokie?(How)

cookie创建

// 两种方法
// 1. 构造时将数据传入
Cookie cookie = new Cookie("key", "value");


// 除了核心的数据之外，我们还可以设置一些其他属性
// 1. 设置过期时间
cookie.setMaxAge(60);	//单位：秒(60秒后,Cookie会自动删除)
// 2. 设置Domain
cookie.setDomain("www.baidu.com"); // 代表只有访问www.baidu.com这个域名下的请求，才能获取到此Cookie
cookie.setDomain(".baidu.com");	// 代表所有www.baidu.com下的二级域名包括www.baidu.com这个一级域名都可以共享此Cookie（注意这种情况下domain必须以"."开头）
// 3. 设置Path 
cookie.setPath("/StudentServlet");	// 一旦设置了Path，那么要获取Cookie，当前的请求地址必须满足Path的规则，否则获取不到此Cookie     http://xxx:port/student/StudentServlet/getstu/3

cookie添加

// 使用响应对象写入浏览器

reponse.addCookie(cookie); //本质上会在响应中添加一个Set-Cookie响应头。

cookie删除

// Cookie没有delete方法

// 我们可以通过设置过期时间为0实现删除
Cookie cookie = new Cookie("key", "");
cookie.setMaxAge(0);
response.addCookie(cookie);

cookie修改

// Cookie的修改其实就是覆盖添加

// 具体来说分三步
// 1. 先获取已有Cookie，
// 2. 然后修改其中的数据，
// 3. 最后调用response.addCookie()重新添加到浏览器，浏览器看到Key相同的Cookie会自动更新

获取cookie中的数据

// 1. 先通过请求对象获取请求中携带的所有Cookie数组
Cookie[] cookies = request.getCookies();

// 2. 迭代Cookie数组，寻找要操作的Cookie
for(Cookie cookie : cookies) {
    // 根据cookie.getName()判断是否是自己要获取数据的cookie
	String cookieName = c.getName();
    String cookieValue = c.getValue();    
    System.out.println(cookieName + " = "+ cookieValue);
    // 3. 找到后，调用cookie.getValue()获取数据
}

Cookie有效时间

1.会话Cookie

​ 默认情况下,关闭了浏览器,那么Cookie就会消失.

这是默认的行为,但是大部分现代的浏览器都不会这么做,比如chrome浏览器,默认打开时会恢复上次关闭时的状态,所有关闭浏览器Cookie并不会失效,我们可以设置浏览器打开时不恢复上次状态,改为打开新的标签页即可.

2.持久Cookie

​ 通过设置MaxAge指定存活时间,在存活时间内,都有效,并且会保存在客户端上.

cookie.setMaxAge(0); //设置立即删除  
cookie.setMaxAge(100); //100 秒

cookie不能直接存储中文,需要做转码

Session

Session是什么?(What)

Session和Cookie类似,都是用来存储用户信息的.不同于Cookie的是Session是存储在服务端.他们两者通过JSESSIONID关联起来

为什么要用Session?(Why)

虽然Cookie已经可以标识出哪个请求属于哪个用户的,但是不足的是Cookie本身是存储在客户端硬盘上,安全性不高,不适合存储敏感数据,还有Cookie本身能存储的数据有限(数据大小本身限制,数据类型限制,字符集限制).而存储在服务器的Session完全没有这些问题.

什么情况下要用Session?(Why)

Session可以用来存储用户的所有信息,理论上所有能在Cookie中存储的数据都可以放到Session中,考虑到Session是基于内存的,如果存储太多不太重要的数据会大大增加服务器内存压力,一般Session会配合Cookie一起使用.

怎样使用Session?(How)

创建Session

// Session是由容器自动创建的，我们可以在代码中直接获取Sesssion

HttpSession session = request.getSession();

往Session中存储数据

session.setAttribute(name,value);

获取Session中的数据

session.getAttribute(name);

修改Session中的数据

// 修改Session中的数据和修改Cookie中的数据类似，都是覆盖添加

// 1. 获取要修改的数据
Object data = session.getAttribute("key");

// 2. 修改数据对应的属性
data.setXXX();

// 3. 将修改后的数据重新存入Session
session.setAttribute("key", data);

让Session失效

session.invalidate();	//调用后session对象会失效，同时客户端Cookie中的JSESSIONID也会发生变化
//从Session中移除某一个数据
session.removeAttribute("chat");

Cookie与Session的联系

1. Cookie数据存放到客户端(浏览器),Session存放到服务端.
2. Cookie存放的数据大小有限制,不能超过4K;很多浏览器都限制限制一个站点最多保存20个Cookie.
3. Cookie由于存放在客户端硬盘上,所有相较于Session来说安全性低一点.
4. Cookie的失效时间是通过setMaxAge来设置,Session是通过setInactiveInterval方法设置
5. Cookie中只能存储字符串的值,而且还不能中文.而Session中可以存储任意语言的字符串,或者Java中的所有类型
6. Cookie是由程序员在业务代码中自己创建的,而Session是由容器创建的.

HTTP协议本身是无状态的,也就是说服务端无法通过一个请求判断出谁是谁,而Session作为服务器跟踪用户状态的一项技术,在整个容器中存在很多份数据.如何知道一个请求进来应该拿哪份数据这是个问题,那么要解决这个问题,我们需要在请求中添加一个标识,Cookie技术就解决了这个问题,具体来说,Tomcat会在浏览器第一次访问JSP,Servlet时分配一个独一无二的Cookie标识(JSESSONID),写到浏览器端,后续每次请求时,浏览器会携带这个标识,进而服务端就可以区分出来谁是谁,然后拿对应的Session数据