Cookie和Session

视频
1、https://www.bilibili.com/video/BV1UV411r7fW?p=1&vd_source=3558fd85254f40ca0361146cc92d2cce
2、https://www.bilibili.com/video/BV1EV411m7jt?spm_id_from=333.337.search-card.all.click&vd_source=3558fd85254f40ca0361146cc92d2cce

一、会话技术

1、会话：一次会话中包含多次请求和响应
一次会话：浏览器第一次给服务器资源发送请求，会话建立，直到有一方断开为止
2、功能：在一次会话的范围内的多次请求间，共享数据

3、方式：

1. 客户端会话技术：Cookie
2. 服务器端会话技术：Session

二、Cookie

1. 概念

概念：客户端会话技术，将数据保存到客户端

2. 快速入门

快速入门（使用步骤）：
1、创建Cookie对象，绑定数据

new Cookie(String name,String value)

2、发送Cookie对象

response.addCookie(Cookie cookie)

3、获取Cookie，拿到数据

Cookie[ ] request.getCookies()

3. Cookie的细节

3.1 一次可不可以发送多个Cookie？

可以，可以创建多个Cookie对象，使用response调用多次addCookie方法发送Cookie即可。

3.2 Cookie在浏览器中保存多长时间

1、默认情况下，当浏览器关闭后，Cookie数据被销毁
2、持久化存储
setMaxAge(int seconds)

1. 正数：将Cookie数据写到硬盘的文件中，持久化存储。并指定Cookie存活时间，时间到后，Cookie文件自动失效
2. 负数：默认值（当浏览器关闭后，Cookie数据被销毁）
3. 零：删除Cookie信息

3.3 cookie能不能存中文

• 在tomcat 8之前 cookie中不能直接存储中文数据（需要将中文数据转码—一般采用URL编码（%E3）)
• 在tomcat之后，Cookie支持中文数据

3.4 cookie共享问题？

1、假设在一个tomcat服务器中，部署了多个Web项目，那么在这些Web项目中cookie能不能共享？

• 默认情况下，cookie不能共享
• setPath(String path)：设置cookie的获取范围，默认情况下，设置当前的虚拟目录，如果需要共享，则可以将path设置为“/”

3.5 不同的tomcat服务器间cookie共享问题？

• setDomain(String path)：如果设置一级域名相同，那么多个服务器之间cookie可以共享
  例：setDomain(“.baidu.com”)，那么tieba.baidu.com和news.baidu.com中cookie可以共享

三、JSP入门学习

1. 概念

JSP：Java Server Pages：java服务器端页面

• 可以理解为：一个特殊的页面，其中既可以指定html标签，又可以定义java代码
• 用于简化书写

JSP本质上就是一个Servlet

2. 使用

JSP的脚本：JSP定义Java代码的方式

1. <% 代码 %>：定义的java代码，在service方法中，service方法中可以定义什么，该脚本就可以定义什么。
2. <%! 代码 %>：定义的java代码，在jsp转换后的java类的成员位置
3. <%= 代码 %>：定义的java代码，会输出到页面中。输出语句中可以定义什么，该脚本就可以定义什么

JSP的内置对象
在jsp页面中不需要获取和创建，可以直接使用的对象

在jsp中一共有9个内置对象

先说三个：

• request
• response
• out：字符输出流对象，可以将数据输出到页面上，和response.getWriter().write()类似（在tomcat服务器真正给客户端做出响应之前，会先找response缓冲区数据，也就是说先执行response.getWriter().write()，因此response.getWriter().write()会打乱代码执行顺序，推荐使用out.write()）

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
   <head>
      <title>#[[$Title$]]#</title>
   </head>
   <body>
		  <%
				System.out.println("hello jsp");
				int i=5;
				String contextPath=request.getContextPath();
				out.print(contextPath);
			%>
		
			<%!
				int i=3;
			%>
			
			<%= "hello" %>
			
			<h1>hi~ jsp!</h1>
		
			<% response.getWriter().write("response");%>
   </body>
</html>
	

四、Session

1. 概念

概念：服务器端会话技术，将数据保存到服务端，在一次会话的多次请求间共享数据，将数据保存在服务器端的对象中，HttpSession

2. 快速入门

快速入门（使用步骤）：

1. 获取HttpSession对象：
   HttpSession session=request.getSession();
2. 使用HttpSession对象：
   Object getAttribute(String name);
   void setAttribute(String name,Object value);
   void removeAttribute(String name);

设置Session
获取Session

3. Session的原理

1、Session依赖Cookie，当第一次获取session对象时，因为Cookie没有携带SessionID,因此在服务器内存中找不到session对象，所以需要新建session对象。
2、新建之后，把sessionID存入Cookie中，响应给浏览器，浏览器下次请求该服务器就会利用Cookie携带SessionID
3、服务器收到SessionID之后，当调用request.getSession()时,就会去内存中找到该session对象，因此这个时候得到的对象与第一步的session对象是同一个

4. Session的细节

4.1 当客户端关闭后，服务器不关闭，两次获取Session是否为同一个

• 默认情况下，不是同一个。因为SessionID是依赖Cookie携带的，而默认情况下，当浏览器关闭，Cookie就会清除

• 如果需要相同，则可以手动创建Cookie,键为JSESSIONID,设置最大存活时间，让Cookie持久化保存。默认情况是，会自动Cookie也就是第一种情况

Cookie c=new Cookie("JSESSIONID",session.getId());
c.setMaxAge(60*60);
response.addCookie(c);

4.2 客户端不关闭，服务器关闭后，两次获取session是同一个吗？

不是同一个。因为session对象是存在服务器内存中的，当服务器关闭后，内存自然回释放。

解决措施：

• session的钝化：在服务器正常关闭之前，将session对象系列化到硬盘上
• session的活化：在服务器启动后，将session文件转化为内存中的session对象即可

需要注意的是：在IDEA中只能实现钝化，不能实现活化，因为中途会删掉work文件夹，又重新建，钝化后的持久化文件丢失了。tomcat服务器可以

4.3 session什么时候被销毁

1. 服务器关闭
2. session对象调用invalidate()
3. session默认失效时间30min
   选择配置修改

<session-config>
	<session-timeout>30</session-timeout>
</session-config>

也可以通过setMaxInactiveInterval(int)方法进行设置

4.4 session的特点

1. Session用于存储一次会话的多次请求的数据，存在服务器端
2. Session可以存储任意类型，任意大小的数据

4.5 Session和cookie的区别

1. cookie数据存放在客户的浏览器上，session数据放在服务器上。
2. 很多浏览器都限制一个站点最多保存20个cookie，单个cookie 保存的数据不能超过4K。
3. cookie并不是很安全，别人可以分析存放在本地的cookie并进行cookie欺骗，考虑到安全应当使用session 。
4. 可以考虑将登陆信息等重要信息存放为session，其他信息如果需要保留，可以放在cookie 中。
5. session会在一定时间内保存在服务器上。当访问增多，会比较占用你服务器的性能，考虑到减轻服务器性能方面，应当把不是用户敏感的信息保存到cookie。
6. session会在浏览器关闭或者一段时间内销毁,也可以通过setMaxInactiveInterval(int)方法进行设置,或是通过invalidate()方法强制结束当前会话。cookie可以通过setMaxAge (int)方法设置缓存在客户端的时间。
   7、一般情况下，session生成的sessionid都是保存在cookie中。

总结
Cookie:在客户端保存数据，不安全。只能保存字符串，且是少量数据session:在服务器端保存数据，安全。可以保存对象数据，数据无限制。

五、问题拓展

1. cookie被用户禁用怎么办?

**解决办法：**可以使用URL地址重写是对客户端不支持Cookie的解决方案。

URL地址重写的原理是将该用FSession的id信息重写到URL地址中。服务器能够解析重写后的URL 获取 Session的id。这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。

2. 结合项目使用

1.判断用户是否登陆过网站，以便下次登录时能够直接登录。如果我们删除cookie，则每次登录必须重新填写登录的相关信息。
2.另一个重要的应用是“购物车”中类的处理和设计。用户可能在一段时间内在同一家网站的不同页面选择不同的商品，可以将这些信息都写入cookie，在最后付款时从cookie中提取这些信息，当然这里面有了安全和性能问题需要我们考虑了。

单点登录：https://www.bilibili.com/video/BV1pJ411k7c4?spm_id_from=333.337.search-card.all.click&vd_source=3558fd85254f40ca0361146cc92d2cce