【项目小知识】Cookie&Session——JSP

我是灼灼，一只初学Java的大一金渐层。
向往余秀华和狄兰·托马斯的疯狂，时常沉溺于将情感以诗相寄；追逐过王尔德、王小波的文字，后陷于毛姆和斯蒂芬·金不可自拔；热爱文学的浪潮，白日梦到底却总在现实里清醒；艳羡平静又极度渴盼奔跑的力量。
欢迎与我交流鸭· QQ:1517526827；
个人博客：https://blog.csdn.net/weixin_52777510?spm=1001.2101.3001.5343

jsp_Cookie&Session

JSP Cookie 处理

Cookie 是存储在客户机的文本文件，它们保存了大量轨迹信息。在 Servlet 技术基础上，JSP 显然能够提供对 HTTP cookie 的支持。

通常有三个步骤来识别回头客：

• 服务器脚本发送一系列 cookie 至浏览器。比如名字，年龄，ID 号码等等。
• 浏览器在本地机中存储这些信息，以备不时之需。
• 当下一次浏览器发送任何请求至服务器时，它会同时将这些 cookie 信息发送给服务器，然后服务器使用这些信息来识别用户或者干些其它事情。

如何设置或重设 cookie 的方法，如何访问它们及如何删除它们？

JSP Cookie 处理需要对中文进行编码与解码，方法如下：

String   str   =   java.net.URLEncoder.encode("中文", "UTF-8");            //编码
String   str   =   java.net.URLDecoder.decode("编码后的字符串","UTF-8");   // 解码

Cookie 剖析

Cookie 通常在 HTTP 信息头中设置（虽然 JavaScript 能够直接在浏览器中设置 cookie）。在 JSP 中，设置一个 cookie 需要发送如下的信息头给服务器：

HTTP/1.1 200 OK
Date: Fri, 04 Feb 2015 21:03:38 GMT
Server: Apache/1.3.9 (UNIX) PHP/4.0b3
Set-Cookie: name=runoob; expires=Friday, 04-Feb-17 22:03:38 GMT; 
                 path=/; domain=runoob.com
Connection: close
Content-Type: text/html

Set-Cookie 信息头包含一个键值对，一个 GMT（格林尼治标准）时间，一个路径，一个域名。键值对会被编码为URL。有效期域是个指令，告诉浏览器在什么时候之后就可以清除这个 cookie。

如果浏览器被配置成可存储 cookie，那么它将会保存这些信息直到过期。如果用户访问的任何页面匹配了 cookie 中的路径和域名，那么浏览器将会重新将这个 cookie 发回给服务器。浏览器端的信息头：

GET / HTTP/1.0
Connection: Keep-Alive
User-Agent: Mozilla/4.6 (X11; I; Linux 2.2.6-15apmac ppc)
Host: zink.demon.co.uk:1126
Accept: image/gif, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: name=xyz

JSP 脚本通过 request 对象中的 getCookies() 方法来访问这些 cookie，这个方法会返回一个 Cookie 对象的数组。

Servlet Cookie 方法

下表列出了 Cookie 对象中常用的方法：

序号	方法 & 描述
1	**public void setDomain(String pattern)**设置 cookie 的域名，比如 runoob.com
2	**public String getDomain()**获取 cookie 的域名，比如 runoob.com
3	**public void setMaxAge(int expiry)**设置 cookie 有效期，以秒为单位，默认有效期为当前session的存活时间
4	**public int getMaxAge()**获取 cookie 有效期，以秒为单位，默认为-1 ，表明cookie会活到浏览器关闭为止
5	**public String getName()**返回 cookie 的名称，名称创建后将不能被修改
6	**public void setValue(String newValue)**设置 cookie 的值
7	**public String getValue()**获取cookie的值
8	**public void setPath(String uri)**设置 cookie 的路径，默认为当前页面目录下的所有 URL，还有此目录下的所有子目录
9	**public String getPath()**获取 cookie 的路径
10	**public void setSecure(boolean flag)**指明 cookie 是否要加密传输
11	**public void setComment(String purpose)**设置注释描述 cookie 的目的。当浏览器将 cookie 展现给用户时，注释将会变得非常有用
12	**public String getComment()**返回描述 cookie 目的的注释，若没有则返回 null

使用 JSP 设置 cookie

使用 JSP 设置 cookie 包含三个步骤：

(1)创建一个 cookie 对象： 调用 cookie 的构造函数，使用一个 cookie 名称和值做参数，它们都是字符串。

Cookie cookie = new Cookie("key","value");

名称和值中都不能包含空格或者如下的字符：

[ ] ( ) = , " / ? @ : ;

(2) 设置有效期：调用 setMaxAge() 函数表明 cookie 在多长时间（以秒为单位）内有效。下面的操作将有效期设为了 24 小时。

cookie.setMaxAge(60*60*24); //60*60是3600s，1h

(3) 将 cookie 发送至 HTTP 响应头中：调用 response.addCookie() 函数来向 HTTP 响应头中添加 cookie。

response.addCookie(cookie);

main.jsp 文件代码：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<%
   // 编码，解决中文乱码   
   String str = URLEncoder.encode(request.getParameter("name"),"utf-8");  
   // 设置 name 和 url cookie ，创建两个cookie
   Cookie name = new Cookie("name",
           str);
   Cookie url = new Cookie("url",
              request.getParameter("url"));

   // 设置cookie过期时间为24小时。
   name.setMaxAge(60*60*24); 
   url.setMaxAge(60*60*24); 

   // 在响应头部添加cookie
   response.addCookie( name );
   response.addCookie( url );
%>
<html>
<head>
<title>设置 Cookie</title>
</head>
<body>

<h1>设置 Cookie</h1>

<ul>
<li><p><b>网站名:</b>
   <%= request.getParameter("name")%>
</p></li>
<li><p><b>网址:</b>
   <%= request.getParameter("url")%>
</p></li>
</ul>
</body>
</html>

一个简单的 HTML 表单通过 GET 方法将客户端数据提交到 main.jsp 文件中，并设置 cookie：

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>菜鸟教程(runoob.com)</title>
</head>
<body>

<form action="main.jsp" method=GET>
站点名: <input type="text" name="name">
<br />
网址: <input type="text" name="url" />
<input type="submit" value="提交" />
</form>

</body>
</html>

将以上代码保存到 test.htm 文件中。

将该文件放置于当前 jsp 项目的 WebContent 目录下（与 main.jsp 同一个目录）。

通过访问 http://localhost:8080/testjsp/test.html 提交表单数据到 main.jsp 文件，演示 Gif 图：

输入 “站点名” 和 “网址”，然后点击提交按钮，它将会在屏幕中显示 “站点名” 和 “网址”，并且设置 “站点名” 和 “网址” 的两个 cookie。

使用 JSP 读取 Cookie

读取 cookie需要调用 request.getCookies() 方法来获得一个 javax.servlet.http.Cookie 对象的数组，然后遍历这个数组，使用 getName() 方法和 getValue() 方法来获取每一个 cookie 的名称和值。

读取上个例子中的cookie, cookie.jsp 文件代码：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>获取 Cookie</title>
</head>
<body>
<%
   Cookie cookie = null;
   Cookie[] cookies = null;
   // 获取 cookies 的数据,是一个数组
   cookies = request.getCookies();
   if( cookies != null ){
      out.println("<h2> 查找 Cookie 名与值</h2>");
      for (int i = 0; i < cookies.length; i++){
         cookie = cookies[i];
        
         out.print("参数名 : " + cookie.getName());
         out.print("<br>");
         out.print("参数值: " + URLDecoder.decode(cookie.getValue(), "utf-8") +" <br>");
         out.print("------------------------------------<br>");
      }
  }else{
      out.println("<h2>没有发现 Cookie</h2>");
  }
%>
</body>
</html>

浏览器访问后，输出结果为：使用 JSP 删除 cookie

获取一个已经存在的 cookie 然后存储在 Cookie 对象中。将 cookie 的有效期设置为 0。将这个 cookie 重新添加进响应头中。

下面的程序删除一个名为 “name” 的 cookie，当第二次运行 cookie.jsp时，name 将会为 null。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>获取 Cookie</title>
</head>
<body>
<%
   Cookie cookie = null;
   Cookie[] cookies = null;
   // 获取当前域名下的cookies，是一个数组
   cookies = request.getCookies();
   if( cookies != null ){
      out.println("<h2> 查找 Cookie 名与值</h2>");
      for (int i = 0; i < cookies.length; i++){
         cookie = cookies[i];
         if((cookie.getName( )).compareTo("name") == 0 ){
            cookie.setMaxAge(0);
            response.addCookie(cookie);
            out.print("删除 Cookie: " + 
            cookie.getName( ) + "<br/>");
         }
         out.print("参数名 : " + cookie.getName());
         out.print("<br>");
         out.print("参数值: " + URLDecoder.decode(cookie.getValue(), "utf-8") +" <br>");
         out.print("------------------------------------<br>");
      }
  }else{
      out.println("<h2>没有发现 Cookie</h2>");
  }
%>
</body>
</html>

通过浏览器访问，输出结果为：再次访问 http://localhost:8080/testjsp/cookie.jsp，将会得到如下结果：可以看到名为 “name” 的 cookie 已经不见了。

IE 浏览器通过点击 Tools 菜单项，然后选择 Internet Options，点击 Delete Cookies，就能删除所有 cookie 。

JSP Session

HTTP是无状态协议，每次客户端检索网页时，都要单独打开一个服务器连接，因此服务器不会记录下先前客户端请求的任何信息。

有三种方法来维持客户端与服务器的会话：

Cookies(不建议使用)

网络服务器可以指定一个唯一的session ID作为cookie来代表每个客户端，用来识别这个客户端接下来的请求。

这可能不是一种有效的方式，因为很多时候浏览器并不一定支持cookie，所以不建议使用这种方法来维持会话。

---

隐藏表单域（不支持）

一个网络服务器可以发送一个隐藏的HTML表单域和一个唯一的session ID：

<input type="hidden" name="sessionid" value="12345">

条目意思是：当表单被提交时，指定的名称和值将会自动包含在GET或POST数据中。每当浏览器发送一个请求，session_id的值就可以用来保存不同浏览器的轨迹。

这种方式可能是一种有效的方式，但点击<A HREF>标签中的超链接时不会产生表单提交事件，因此隐藏表单域也不支持通用会话跟踪。

---

重写URL

可以在每个URL后面添加一些额外的数据来区分会话，服务器能够根据这些数据来关联session标识符。

举例：http://w3cschool.cc/file.htm;sessionid=12345， session标识符为sessionid=12345，服务器可以用这个数据来识别客户端。

相比而言重写URL是更好的方式。即使浏览器不支持cookies也能工作，但缺点是必须为每个URL动态指定session ID，就算这是个简单的HTML页面。

---

session对象

除了以上几种方法外，JSP利用servlet提供的HttpSession接口来识别一个用户，存储这个用户的所有访问信息。

默认情况下，JSP允许会话跟踪，一个新的HttpSession对象将会自动地为新的客户端实例化。禁止会话跟踪需要显式地关掉它：通过将page指令中session属性值设为false来实现：

<%@ page session="false" %>

JSP引擎将隐含的session对象暴露给开发者。由于提供了session对象，开发者就可以方便地存储或检索数据。

session对象的一些重要方法：

S.N.	方法 & 描述
1	**public Object getAttribute(String name)**返回session对象中与指定名称绑定的对象，如果不存在则返回null
2	**public Enumeration getAttributeNames()**返回session对象中所有的对象名称
3	**public long getCreationTime()**返回session对象被创建的时间， 以毫秒为单位，从1970年1月1号凌晨开始算起
4	**public String getId()**返回session对象的ID
5	**public long getLastAccessedTime()**返回客户端最后访问的时间，以毫秒为单位，从1970年1月1号凌晨开始算起
6	**public int getMaxInactiveInterval()**返回最大时间间隔，以秒为单位，servlet 容器将会在这段时间内保持会话打开
7	**public void invalidate()**将session无效化，解绑任何与该session绑定的对象
8	**public boolean isNew()**返回是否为一个新的客户端，或者客户端是否拒绝加入session
9	**public void removeAttribute(String name)**移除session中指定名称的对象
10	public void setAttribute(String name, Object value) 使用指定的名称和值来产生一个对象并绑定到session中
11	**public void setMaxInactiveInterval(int interval)**用来指定时间，以秒为单位，servlet容器将会在这段时间内保持会话有效

JSP Session应用

使用HttpSession对象来获取创建时间和最后一次访问时间。如果这个对象尚未存在的话，为request对象关联一个新的session对象。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.io.*,java.util.*" %>
<%
   // 获取session创建时间
   Date createTime = new Date(session.getCreationTime());
   // 获取最后访问页面的时间
   Date lastAccessTime = new Date(session.getLastAccessedTime());

   String title = "再次访问菜鸟教程实例";
   Integer visitCount = new Integer(0);
   String visitCountKey = new String("visitCount");
   String userIDKey = new String("userID");
   String userID = new String("ABCD");

   // 检测网页是否有新的访问用户
   if (session.isNew()){
      title = "访问菜鸟教程实例";
      session.setAttribute(userIDKey, userID);
      session.setAttribute(visitCountKey,  visitCount);
   } else {
       visitCount = (Integer)session.getAttribute(visitCountKey);
       visitCount += 1;
       userID = (String)session.getAttribute(userIDKey);
       session.setAttribute(visitCountKey,  visitCount);
   }
%>
<html>
<head>
<title>Session 跟踪</title>
</head>
<body>

<h1>Session 跟踪</h1>

<table border="1" align="center"> 
<tr bgcolor="#949494">
   <th>Session 信息</th>
   <th>值</th>
</tr> 
<tr>
   <td>id</td>
   <td><% out.print( session.getId()); %></td>
</tr> 
<tr>
   <td>创建时间</td>
   <td><% out.print(createTime); %></td>
</tr> 
<tr>
   <td>最后访问时间</td>
   <td><% out.print(lastAccessTime); %></td>
</tr> 
<tr>
   <td>用户 ID</td>
   <td><% out.print(userID); %></td>
</tr> 
<tr>
   <td>访问次数</td>
   <td><% out.print(visitCount); %></td>
</tr> 
</table> 
</body>
</html>

访问 http://localhost:8080/testjsp/main.jsp ，第一次运行时得到如下结果：

再次访问，得到结果：

删除Session数据

处理完一个用户的会话数据后，可以选择：

• 移除一个特定的属性：

  调用public void removeAttribute(String name) 方法来移除指定的属性。

• 删除整个会话：

  调用public void invalidate() 方法来使整个session无效。

• 设置会话有效期：

  调用 public void setMaxInactiveInterval(int interval) 方法来设置session超时。

• 登出用户：

  支持servlet2.4版本的服务器，可以调用 logout()方法来登出用户，并且使所有相关的session无效。

• 配置web.xml文件：

  如果使用的是Tomcat，可以向下面这样配置web.xml文件：

  <session-config>
    <session-timeout>15</session-timeout>
  </session-config>

超时以分钟为单位，Tomcat中的默认的超时时间是30分钟。

Servlet中的getMaxInactiveInterval( ) 方法以秒为单位返回超时时间。如果在web.xml中配置的是15分钟，则getMaxInactiveInterval( ) 方法将会返回900。

---

如果对你有帮助的话不要忘记一键三连噢~
谢谢鸭~

初次编写于2021/2/23日；