Cookie和Session

最新推荐文章于 2023-12-29 20:39:44 发布
原创 最新推荐文章于 2023-12-29 20:39:44 发布 · 246 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#cookie #session

本文详细介绍了Cookie和Session的概念及使用。Cookie是服务器发送到浏览器并保存在客户端的小型信息,用于会话管理,每个Cookie大小不超过4KB。服务器可通过setMaxAge()控制其生命周期。Session接口代表客户端与服务器的会话,用于保存用户信息,通过setMaxInactiveInterval()设置超时时间。Session依赖于Cookie技术实现,其默认超时时间为30分钟。

Cookie

什么是Cookie:Cookie是服务器通知客户端保存键值对的一种技术

创建一个cookie,cookie是servlet发送到Web浏览器的少量信息,这些信息由浏览器保存,然后发送回服务器。cookie的值可以唯一的标识浏览器客户端,因此cookie常用于会话管理

每个cookie的大小不能超过4kb。客户端有了cookie之后,每次请求都发送给服务器

创建Cookie并通知客户端保存

  1. 创建Cookie对象
Cookie cookie=new Cookie("key","value");
  1. 通知客户端保存Cookie
resp.addCookie(cookie);

服务器获取Cookie

req.getCookies();  //返回Cookie对象的数组Cookie[]

Cookie值的修改:服务器可以修改Cookie的值
方案一:
1、先在服务器创建一个同名(key)的Cookie对象
2、在构造器,同时赋予新的Cookie值
3、调用addCookie()方法

方案二:
1、先查找到需要修改的Cookie对象
2、调用setValue()方法赋予新的值
3、调用addCookie()方法通知客户端保存修改

Cookie的生命控制
Cookie的生命控制是指如何管理Cookie什么时候被销毁(删除)

主要由一个方法来决定:

setMaxAge(); //参数设置cookie的最大生存时间,以秒为单位
  • 正值:表示在指定的秒数后过期
  • 负值:意味着cookie不会被持久存储,将在web浏览器退出时删除(默认值是-1)
  • 0:表示马上删除cookie

Cookie有效路径Path的设置
Cookie 的path属性可以有效的过滤哪些Cookie可以发送给服务器。哪些不发

path属性是通过请求的地址来进行有效的过滤
设置path属性: setPath()

Session会话

什么是Session会话?
Session是一个接口:HttpSession

Session就是会话。它是用来维护一个客户端和服务器之间关联的一种技术

每个客户端都有一个自己的Session会话。Session会话中,我们常用来保存用户登录之后的信息

Session的创建和获取
创建和获取是使用同一个API:

request.getSession()

第一次调用此方法是创建Session,之后调用此方法是获取之前创建好的Session会话对象

我们可以通过调用isNew()方法判断这个Session是否是刚刚创建的:

  • true:表示刚创建
  • false:表示获取之前创建

每个会话都有一个唯一的id号码
getId() 方法获取得到Session会话的id值

Session也是一个域对象,可以往域中存取数据

Session的生命周期控制

public void setMaxInactiveInterval(int interval) ;//设置Session会话的超时时长(以秒为单位)。超过指定的时长Session就会被销毁
  • 参数值为正数时,是设定Session的超时时长
  • 参数值为负数时,表示永不超时(极少使用)

其他方法:

  • public void invalidate() 让当前Session会话马上超时无效
  • public int getMaxInactiveInterval() 获取Session的超时时长

Session的默认超时时长为:30分钟。因为在Tomcat服务器的web.xml配置文件中默认有以下的配置

	<session-config>
    		<session-timeout>30</session-timeout>
  	</session-config>

以上配置表面配置了当前Tomcat服务器下所有的Session会话的超时时长都默认为30分钟
如果我们想配置自己的web工程中的Session会话超时时长默认为其他时长,可以在工程中的web.xml
中做以上相同的配置

注意
1、Session超时的概念:客户端两次请求之间的最大间隔时长
2、Session技术底层是基于Cookie技术来实现的

CookieSession介绍
qiaotl的博客
07-18 1687
通过实际应用详细介绍CookieSession的区别以及如何使用他们
Haproxy配置详解
qq_42072311的博客
11-12 912
声明,本文转自:https://www.cnblogs.com/zyd112/p/8888945.html 一、HAProxy简介 1.HAProxy 是一款提供高可用性、负载均衡以及基于TCP(第四层)HTTP(第七层)应用的代理软件,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。 2.HAProxy 实现了一种事件驱动、单一进程模型,此模型支持非常大的并发连接数。 3.HAPro...
Haproxy安装及配置
TimeRovers的博客
04-14 2950
安装 HAProxy简介 HAProxy是一个开源的、高性能的、基于TCPHTTP应用的负载均衡软件 HAProxy优点 可靠性稳定性非常好,可以与硬件的F5相媲美 最高可以同时维护40000–50000个并发连接,单位时间内处理的最大请求数为20000个,最大数据处理能力可达10Gbps 支持多于8种负载均衡算法 ,同时也支持session保持 支持虚拟主机功能 从HAProxy 1.3版本后开始支持连接拒绝、全透明代理等功能 HAProxy拥有一个功能强大的服务器状态监控页面 HAProxy拥有
haproxy七层负载均衡
weixin_46018506的博客
12-31 2190
4层负载平衡 将网络流量负载,平衡到多个服务器的最简单方法,是使用第4层(传输层)负载平衡。以这种方式进行负载均衡将根据IP范围端口转发用户流量 用户访问负载均衡器,负载均衡器将用户的请求转发给后端服务器的Web后端组。无论选择哪个后端服务器,都将直接响应用户的请求。通常,Web后端中的所有服务器应该提供相同的内容 - 否则用户可能会收到不一致的内容。 7层负载平衡 7层负载平衡是更复杂的负载均衡网络流量的方法是使用第7层(应用层)负载均衡。使用第7层允许负载均衡器根据用户请求的内容将请求转发到不
聊一聊cookie
m0_70274796的博客
04-28 860
之后你就能在控制台中看到这个 cookie 了,如下图所示: 这里有个坑需要注意下: 如果想在客户端即网页中通过 js 去设置secure类型的 cookie,必须保证网页是https协议的。在http协议的网页中是无法设置secure类型cookie的。 [](()2.5 httpOnly 这个选项设置cookie是否能通过js去反问,默认情况下,cookie不会带httpOnly选项(即为空),所以默认情况下,客户端是可以通过js代码去访问的(包括读取、修改、删除) 当设置了httpOnly之
Springboot中登录后关于cookiesession拦截问题的案例分析
09-07
在Spring Boot应用中,登录验证通常涉及到CookieSession两种技术,它们都是用于用户身份验证会话管理的重要手段。本文将深入探讨如何在Spring Boot中使用CookieSession进行登录后的拦截处理。 首先,简单介绍...
ThinkPHP的cookiesession冲突造成Cookie不能使用的解决方法
10-25
在使用ThinkPHP框架开发网站过程中,经常会有涉及到用户登录验证、投票系统等功能,这些功能往往需要用到sessioncookie来实现。但有些时候,开发者可能会遇到sessioncookie之间冲突的问题,导致cookie无法使用。...
express之cookiesession
01-20
cookiesession的基本概念与特性在之前的博文中已经有所介绍,所以这里就只简单的写一下express中cookiesession的设置与获取. 1.cookie  HTTP是无状态的链接, 你请求一个网页结束以后,此时你服务器之间没有任何...
Cookie 与 sessonID
weixin_33994429的博客
04-17 131
Http协议是无状态的,即服务端仅仅能通过你本次提交的http请求来给出响应。cookie可用于服务端标记client。如登陆过后免输password,购物车实现等。 1.cookie Cookie能够通过js代码生成,也能够通过HttpResponse头部中的Set-Cookie属性向浏览器说明。 注意格式为    Set-Cookie: &lt;name&gt;=&lt;val...
HAproxy配置参数说明
Nicholas的专栏
03-17 2581
HAproxy配置参数说明 HAproxy配置参数说明: 根据功能用途不同,其配置文件主要由五个部分组成,分别为global部分,defaults部分,frontend部分,backend部分,listen部分 1)global部分 用于设置全局配置参数,属于进程级的配置,通常与操作系统配置相关 defaults部分 默认参数的配置部分。在些部分设置的参数,默认会自动引用到下面的frontend, backendlisten部分 frontend部分 用于设置接收用户请求的前端虚拟节点。fro
haproxy 配置文件解析
weixin_34336526的博客
09-03 149
HAProxy的算法有如下8种:1. roundrobin,表示简单的轮询2. static-rr,表示根据权重, 3. leastconn,表示最少连接者先处理, 4. source,表示根据请求源IP, 5. uri,表示根据请求的URI;6. url_param,表示根据请求的URl参数'balance url_param' requires an URL parame...
深入浅出理解Web认证:SessionCookie与Token
weixin_61958146的博客
12-29 727
这个概念源于早期Web开发的需求,当时为了在无状态的HTTP协议中保持用户的状态,需要一种机制来存储用户特定的数据。因此,Cookie就像是一个小型的数据容器,它存储在客户端(如浏览器),并且每次请求时会发送到服务器。重要的是认识到,Cookie本身只是存储数据的工具,而不是数据本身。因此,Token的长度通常比Session ID长得多,这是因为它承载了更多的信息加密层。总而言之,虽然这些概念一开始可能令人混淆,但只要把握它们的基本功能用途,就能清晰地理解它们在Web认证状态管理中的角色。
haproxy 安装与配置
weixin_30498921的博客
11-07 295
http://www.cnblogs.com/moss_tan_jun/p/6616472.html http://www.linuxidc.com/Linux/2015-06/118968.htm 一.Haproxy介绍 HAProxy提供高可用性、负载均衡以及基于TCPHTTP应用的代理,支持虚拟主机,它是免费、快速并且可靠的一种解决方案。根据官方数据,其最高极限支持10G的...
HAProxy 简介及配置文件详解
猎人在吃肉
01-07 7884
HAProxy简介 官网:http://www.haproxy.com HAProxy 是法国人Willy Tarreau开发的一个开源软件,是一款应对客户端10000以上的同时连接的高性能的TCP HTTP负载均衡器。其功能是用来提供基于cookie的持久性, 基于内容的交换,过载保护的高级流量管制,自动故障切换 ,以正则表达式为基础的标题控制运行时间,基于Web的报表,高级日志记录以帮助排除...
cookiesession
luoxue0345的博客
07-22 161
一、COOKIE: 在网站中,http请求是无状态的。也就是说即使第一次服务器连接后并且登录成功后,第二次请求服务器依然不能知道当前请求是哪个用户。cookie的出现就是为了解决这个问题,第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器,服务器通过浏览器携带的数据就能判断当前用...
cookie是什么?session呢?
ElvisSu的专栏
10-26 224
【问】cookie是什么?由谁操作? 【答】一般来说cookie是服务器产生的,送到浏览器的时候保存,浏览器在每次请求的时候只要带上就可以了。cookie里保存了sessionID(session是保存在服务端的一个数据结构,用来跟踪用户状态),服务端收到该cookie[sessionId]后就能知道用户是谁。cookie的存取就两种途径: 客户端JavaScript API: document.cookie 服务端HTTP响应头:Set-Cookie 注:如果设置Cookie时附上了Http-On
ASP.NET中 SessionID的本质
syaguang2006的专栏
09-18 8985
ASP.NET中 SessionID的本质
代理服务器对比HA,NGINX
AIGUO666666的博客
11-15 3145
一、代理服务器优缺点:HAProxy、Nginx、LVS、Apache 比较 HAProxy Nginx LVS Apache 简介 高可用、负载均衡且基于TCPHTTP应用的代理,支持高并发,多集群反代。 高性能http反向代理服务器、邮件代理服务器,支持高并发,轻量级Web,低系统资源消耗。 Lin
Cookie Session
最新发布
12-08
<think>嗯,用户想了解CookieSession的概念、区别使用场景。从提供的引用内容来看,需要整理出一个清晰的结构化回答。 首先考虑基础概念部分。根据引用12,Cookie是存储在客户端的小型文本数据,由服务器通过Set-Cookie响应头设置,浏览器后续请求会自动携带。Session则是服务器端存储的用户会话信息,通常通过Session ID关联客户端,这个ID经常存储在Cookie里传递。 关于区别部分,引用1给出了详细对比维度:存储位置(客户端vs服务器)、安全性(Cookie有泄露风险)、存储容量(Cookie约4KB限制)、生命周期(Cookie可设置过期时间,Session依赖会话或超时设置)、性能(Session消耗服务器资源)等。引用3提到经典面试题常考这个区别,特别是HTTP无状态协议下它们的作用(引用4)。 使用场景方面,引用1指出Cookie适合持久化存储低敏感信息如用户偏好,Session适合存储敏感或临时数据如购物车。引用3还用医院挂号案例说明Session ID相当于就诊号,用户信息存在医院系统里。 需要特别注意安全问题。引用13都提到Cookie可能被窃取(XSS攻击)、Session可能被劫持,防护措施包括HttpOnly、Secure标记、定期更换Session ID等。引用4的面试题答案也强调HTTPS传输Session ID的重要性。 考虑在回答中加入具体示例增强理解。引用1给出JS设置CookieFlask使用Session的代码片段,准备在回答中展示基本用法。用户登录流程的交互图(引用3描述的Session创建过程)也需要用文字描述清楚。 最后需要总结两者互补关系:Session依赖Cookie传递ID是常见做法,但Token等其他方式也可行(引用3提到URL重写)。会强调现代Web开发中常结合使用,比如JWT方案其实融合了两者特性。 </think> 以下是CookieSession的核心知识整理,结合技术原理与实际应用场景: --- ### **一、基础概念** 1. **Cookie** - **定义**:服务器发送到用户浏览器并**存储在客户端**的小型文本数据(通常≤4KB)[^1][^2]。 - **工作流程**: ```mermaid graph LR A[服务器响应 Set-Cookie] --> B[浏览器存储Cookie] B --> C[后续请求自动携带Cookie] ``` - **示例代码**(JavaScript设置Cookie): ```javascript document.cookie = "username=John; expires=Thu, 18 Dec 2025 12:00:00 UTC; path=/"; ``` 2. **Session** - **定义**:服务器创建的**临时存储空间**(如用户ID、购物车数据),通过唯一Session ID关联客户端[^3]。 - **工作流程**: ```mermaid graph LR A[浏览器首次访问] --> B[服务器生成Session ID] B --> C[通过Cookie/URL传递Session ID] C --> D[服务器根据ID读取会话数据] ``` --- ### **二、核心区别** | **维度** | **Cookie** | **Session** | |----------------|-------------------------------------|----------------------------------| | 存储位置 | 客户端浏览器 | 服务器内存/数据库 | | 安全性 | 较低(可能被XSS窃取) | 较高(敏感信息不暴露给客户端) | | 存储容量 | ≤4KB(不同浏览器有差异) | 仅受服务器资源限制 | | 生命周期 | 可设长期有效(如`expires`属性) | 会话结束或超时(通常20-30分钟) | | 性能影响 | 无服务器负担 | 占用服务器资源 | | 数据传输 | 每次HTTP请求自动携带 | 仅传递Session ID | --- ### **三、使用场景** 1. **Cookie适用场景** - 记住登录状态(如`remember me`功能) - 保存用户个性化设置(语言/主题) - 跟踪用户行为(匿名数据分析)[^4] 2. **Session适用场景** - 存储敏感数据(银行卡号、地址) - 购物车信息临时存储 - 多步骤表单流程(如注册流程)[^1][^3] --- ### **四、安全实践** | **风险** | **防护措施** | |------------------|---------------------------------------| | Cookie劫持 | 添加`HttpOnly``Secure`属性 | | Session固定攻击 | 登录后重置Session ID | | CSRF攻击 | 同步使用CSRF Token | | 数据泄露 | Session数据加密存储(如AES-256) | > ✅ **最佳实践**:敏感操作(如支付)采用`Session + HTTPS`,非敏感数据用Cookie[^3]。 --- ### **五、经典面试题解析** 1. **Q: 如何解决分布式系统的Session共享?** - **A**:使用集中存储方案(Redis集群),避免服务器本地存储导致的会话丢失。 2. **Q: 禁用Cookie后如何使用Session?** - **A**:通过URL重写传递Session ID(如`/path;jsessionid=xxx`),但需注意URL暴露风险[^1]。 3. **Q: 为什么Session需要Cookie配合?** - **A**:HTTP协议无状态,Session ID需通过Cookie(或URL)在请求间传递以维持会话[^4]。 --- ### **六、总结** - **协作关系**:Session依赖Cookie传递ID是常见模式,但非唯一方案(如Token认证)。 - **趋势**:现代Web应用趋向**JWT(JSON Web Token)** 替代传统Session,实现无状态认证。 - **设计原则**: > 安全性要求高 → 用Session; > 跨会话持久化 → 用Cookie。 ---
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值