会话技术（Cookie/Session）

一，会话技术

概念：会话就是客户端与服务器之间的一个通信过程，一次会话中包含多次请求和响应

一次会话：客户端第一次请求服务器时建立会话，直到任意一方断开为止

作用：在一次会话的范围内的多次请求之间可以实现数据的共享

分类：

1. 客户端会话技术：Cookie
2. 服务端会话技术：Session

二，Cookie

概念：客户端会话技术，它将数据存储到客户端（浏览器）

方法：

1. new Cookie(String name，String value)：创建Cookie对象，将两个参数形成键值对绑定到当前Cookie对象中
2. response.addCookie(Cookie cookie)：发送Cookie对象给客户端
3. request.getCookies()：获取Cookie对象数组

Cookie的原理：

1. 在客户端第一次访问服务器时，服务器会将Cookie对象中的键值对，以" Set-Cookie:key=value "的形式通过响应头发送给客户端
2. 在客户端再次访问服务器时，客户端会在请求头中携带着" Cookie:key=value;… "发送给服务器

Cookie的细节：

1. 多次发送Cookie对象给客户端，如果键相同，值不同，那么原来的值会被新的值覆盖

2. 一次可以发送多个Cookie对象给客户端

3. Cookie在客户端中可以保存多久呢？

   1. 默认情况，当浏览器关闭后，Cookie被销毁
   2. 可以持久化存储：setMaxAge(int seconds)
      1. 正数：实现了持久化存储
      2. 负数：默认值，浏览器关闭时，销毁Cookie
      3. 0：立即删除Cookie

4. Cookie中不能直接存储中文，要存储中文到Cookie中，在存储前要对中文内容进行编码：

   String s = "中文";
   s = URLEncoder.encode(s,"utf-8");
   

   服务器获取到的请求时携带的Cookie是编码后的内容，在获取后需要对其进行解码：

   String value = cookie.getValue();
   value = URLDecoder.decode(value,"utf-8");
   

5. Cookie的作用范围，也就是说客户端在访问服务器的哪些资源时，请求头中会携带着Cookie

   1. 默认情况，是当前web应用的任意资源
   2. 可以通过 setPath(String path)：来设置cookie的携带路径（范围）
      1. setPath("/")：表示当前服务器中的任何web应用的任何资源在被访问时都会携带着Cookie
      2. setPath("/项目名/目录")：表示只有指定web应用下的指定文件夹下的任意资源在被访问时才会携带着Cookie
      3. setPath("/项目名")：表示只有指定web应用下的任意资源在被访问时才会携带着Cookie
      4. setPath("/项目名/文件名")：表示只有指定web应用下的指定资源在被访问时才会携带着Cookie

Cookie的特点：

1. Cookie存储数据在客户端
2. 客户端对于单个Cookie的大小有限制（4k），并且对同一域名下的Cookie数量也有限制（一般是20个）
3. Cookie存储的数据不安全，用户可以随意的清空浏览器中保存的Cookie数据

Cookie的作用：

1. 一般用于存储少量的用户信息

三，Session

概念：Session是服务端会话技术，能够在一次会话的多次请求间共享数据，将数据存储到服务端。

HttpSession 接口

方法：

1. 创建/获取Session：request.getSession()；
2. Session是一个域对象：
   1. setAttribute(String key，Object value)；
   2. getAttribute(String key)；
   3. removeAttribute(String key)；

Session的原理：

1. Session的实现是依赖于Cookie
2. 当调用 request.getSession()时，服务器会查找客户端的请求头中是否携带了存有指定JSESSIONID的Cookie，如果没有，则创建一个Session；如果有，则获取该Session对象
3. 如果想要在关闭浏览器后（会话结束）还能访问到Session域中存储的数据，就需要对存有JSESSIONID的Cookie实现持久化

Session的细节：

1. 客户端关闭，服务器不关，两次获得到的Session是否是同一个？

   1. 默认情况下，不是同一个

   2. 如果想要获得的是同一个Session，必须创建一个Cookie，键为 JSESSION，值是 session.getId()，并将此Cookie持久化

      Cookie c = new Cookie("JSESSIONID", session.getId());
      c.setMaxAge(60);
      response.addCookie(c);
      

2. 服务器关闭，两次获得到的Session是否是同一个？

   无论存有JSESSIONID的Cookie是否持久化，在服务器关闭时，服务器中的Session都存储到tomcat\work\Catalina\localhost\虚拟路径下，生成一个SESSION.ser的文件来保存Session中的数据，这个过程叫Session的钝化。再次打开服务器时，服务器会中这个目录下读取之前保存的SESSIONS.ser文件到服务器中，并将此文件删除，这个过程叫Session的活化。

   注：

   1. 如果钝化的对象是自定义对象，需要将此类序列化
   2. 多个被钝化的session会存储在同一个SESSIONS.ser文件中
   3. 只有正常关闭服务器，Session才会被钝化

3. Session对象何时被销毁？

   1. 在tomcat/conf下的web.xml中，默认配置session的失效时长是30分钟，也可以在当前项目web.xml中配置失效时长

      <session-config>
         <session-timeout>1</session-timeout>
      </session-config>
      

   2. 可以通过 session.invalidate() 方法，立即释放session对象