JavaWeb:Session与Cookie

最新推荐文章于 2025-02-05 09:00:00 发布
原创 最新推荐文章于 2025-02-05 09:00:00 发布
· 457 阅读 · 1 ·
版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #web #java-ee #session #cookie

本文详细介绍了HTTP会话管理中的Session和Cookie机制,包括它们的生命周期、作用域、获取与设置方法、超时原理以及实现细节。Session用于保存会话状态,而Cookie将数据存储在客户端。当Cookie禁用时,可通过URL重写维持会话。此外,还探讨了Cookie的存储方式、安全性以及与Session的区别。通过对请求域、会话域和应用域的对比,阐述了不同域对象的特点和使用场景。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Session与Cookie

Session会话

用户打开浏览器,进行一系列操作,然后最终将浏览器关闭,这个整个过程叫做:一次会话。会话在服务器端也有一个对应的java对象,这个java对象叫做:Session。

用户在浏览器上点击了一下,然后到页面停下来,可以粗略认为是一次请求。请求对应的服务器端的java对象是:Request。

一个会话当中包含多次请求。(一次会话对应N次请求。)

在java的servlet规范当中,session对应的类名:HttpSession(javax/jarkata.servlet.http.HttpSession)

session对象最主要的作用是:保存会话状态。

为什么需要session对象来保存会话状态?

  • 因为HTTP协议是一种无状态协议(请求的时候,B和S是连接的,但是请求结束之后,连接就断了)。
  • 无状态协议,可以降低服务器的压力。请求的瞬间是连接的,请求结束之后,连接断开,这样服务器压力小。
  • 只要B和S断开了,服务器是不知道浏览器关闭的。

session对象的销毁方式:

  1. 超时销毁
  2. 手动销毁:session.invalidate();

请求域、会话域和应用域

请求域(请求级别的)

  • request(对应的类名:HttpServletRequest)
    请求开始时创建,请求结束时销毁。

会话域(用户级别的)

  • session(对应的类名:HttpSession)
    会话开始时创建,会话结束时销毁。

应用域(项目级别的,所有用户共享的。)

  • application(对应的类名:ServletContext)
    服务器启动时创建,服务器关闭时销毁

这三个域对象的大小关系

  • request < session < application

他们三个域对象都有以下三个公共的方法:

  • setAttribute(向域当中绑定数据)
  • getAttribute(从域当中获取数据)
  • removeAttribute(删除域当中的数据)

使用原则:尽量使用小的域。

获取session

// 获取session对象,如果没有获取到则新建
HttpSession session = request.getSession();
// 获取session对象,如果没有获取到则不会新建,返回null
HttpSession session = request.getSession(false);

设置session的超时时间

web.xml

<!--设置session的超时时长为30分钟-->
<session-config>
    <session-timeout>30</session-timeout>
</session-config>

session的实现原理

  • JSESSIONID=xxxxxx 这个是以Cookie的形式保存在浏览器的内存中的。浏览器只要关闭。这个cookie就没有了。
  • session列表是一个Map,map的key是sessionid,map的value是session对象。
  • 用户第一次请求,服务器生成session对象,同时生成id,将id发送给浏览器。
  • 用户第二次请求,自动将浏览器内存中的id发送给服务器,服务器根据id查找session对象。
  • 关闭浏览器,内存消失,cookie消失,sessionid消失,会话等同于结束。

cookie禁用(服务器正常发送cookie给浏览器,但是浏览器拒收了)了,session还能找到吗?

  • 找不到了。每一次请求都会获取到新的session对象。
  • cookie禁用了,session机制还能实现吗?
    • 可以。需要使用URL重写机制。
    • http://ip:端口号/路径;jsessionid=xxxxxx
    • URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候,后面都要添加一个sessionid,给开发带来了很大的难度,很大的成本。所以大部分的网站都是这样设计的:你要是禁用cookie,你就别用了。

Cookie缓存

在java的servlet规范当中,cookie对应的类名:Cookie(javax/jakarta.servlet.http.Cookie)
cookie没有无参构造,任何一个cookie都是要传入name字符串和value字符串

cookie最终是保存在浏览器客户端上的。

  • 可以保存在运行内存中。(浏览器只要关闭cookie就消失了)
  • 也可以保存在硬盘文件中。(永久保存)

cookie的作用:

  • cookie和session机制其实都是为了保存会话的状态。
  • cookie是将会话的状态保存在浏览器客户端上。(cookie数据存储在浏览器客户端上的)
  • session是将会话的状态保存在服务器端上。(session对象是存储在服务器上)
  • 为什么要有cookie和session机制呢?因为HTTP协议是无状态 无连接协议。

将cookie响应到浏览器

@WebServlet("/cookie/generate")
public class GenerateCookie extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 创建Cookie对象
        Cookie cookie = new Cookie("produtid","12345656214332");

        // 没有设置有效时间:默认保存在浏览器的运行内存中,浏览器关闭则cookie消失。
        // 只要设置cookie的有效时间 > 0,这个cookie一定会存储到硬盘文件当中。
        // 设置cookie的有效时间 = 0,表示该cookie被删除,浏览器同名cookie会被删除。
        // 设置cookie的有效时间 < 0,表示该cookie不会被存储。保存在运行内存中,和不设置一样。
        // 设置cookie的失效时间(以秒为单位)
        //cookie.setMaxAge(60*60);    // 1个小时后失效
        //cookie.setMaxAge(0);
        cookie.setMaxAge(-1);

        // 设置cookie的path,表示只要是这个项目的请求路径,都会提交这个cookie给服务器。
        cookie.setPath(request.getContextPath());

        // 将cookie响应到浏览器
        response.addCookie(cookie);
    }
}

在这里插入图片描述
在这里插入图片描述
关于cookie的path:
假设是 http://ip:端口号/项目名/cookie/generate 发送的cookie,只要浏览器的请求路径是http://ip:端口号/项目名/cookie 这个路径以及这个路径下的子路径,cookie都会被发送到服务器。

浏览器发送cookie给服务器

@WebServlet("/sendCookie")
public class ReceiveCookie extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // Java程序通过request对象接收浏览器发送过来的cookie。
        // 如果浏览器没有提交cookie,这个方法的返回值是null,并不是一个长度为0的数组。
        Cookie[] cookies = request.getCookies();

        // cookies不为null,表示一定有cookie
        if (cookies != null) {
            // 遍历数组
            for (Cookie cookie : cookies) {
                // 获取cookie的name和value
                String name = cookie.getName();
                String value = cookie.getValue();
                System.out.println(name + "=" + value);
            }
        }
    }
}

在这里插入图片描述
在这里插入图片描述

cookie和session

cookie机制和session机制其实都不属于java中的机制,实际上cookie机制和session机制都是HTTP协议的一部分。只要是你是做web开发,不管是什么编程语言,cookie和session机制都是需要的。

cookie和session的区别:

  1. cookie数据存放在客户的浏览器上,session数据放在服务器上。
  2. cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗。
  3. session会在一定时间内保存在服务器上。当访问增多,会比较占用服务器的性能。
  4. 考虑到安全使用session,考虑到减轻服务器性能方面使用cookie
  5. 单个cookie在客户端的限制是3K(最大只能存放3K的数据)。

cookie和session的共同点:

  • cookie&session能够始终存在于从一个浏览器发起的一系列的请求及响应中且在此期间都是共享的同一个对象、这样的特性使得两者都可以用来保存客户的状态信息。
java获取cookie_JAVA代码模拟获取cookie以及携带cookie
weixin_42471590的博客
02-12 3111
JAVA代码模拟获取cookie以及携带cookie去年做android的时候,网络连接没有用类似OKHttp之类的框架,而是完全用jdk自带的api实现,今天不想看书。。就把笔记整理一下吧。。这里有个小demo,是先实现登陆,登陆的过程是通过post方式请求,登陆后通过携带的cookie判断是否已经成功登陆。1.获取cookiepublic void connect(String u) thro...
JavaWebsession&Cookie
qq_62331938的博客
04-04 1458
前言 大家好,这里是九歌的博客,上次九歌分享了 模糊查询等,今天来分享sessionCookie。天天呆在宿舍当然要卷起来啦,不开心就学习。 提示:以下是本篇文章正文内容,下面案例可供参考 一、session 1.session是什么? session在网络中被称为会话。 由于HTTP协议(超文本传输协议)是一种无状态协议,也就是当一个客户向服务器发出请求,服务器接收请求,并返回响应后,该连接就结束了,而服务器并不保存相关的信息。 为了弥补这一缺点,HTTP协议提供了session 通过session
Java操作Cookie之添加Cookie
热门推荐
HouYing
07-22 1万+
Cookie cookie = new Cookie("name", "aotori");       //(key,value)    cookie.setPath("/");// 这个要设置    // cookie.setDomain(".aotori.com");//这样设置,能实现两个网站共用    cookie.setMaxAge(365 * 24 * 60 * 60);// 不设置的
web.xml配置cookie
lyf_ldh的博客
03-30 5261
 <cookie-config> <http-only>true</http-only> <secure>true</secure> </cookie-config> 这个的作用是让页面的js无法读取到cookie, 是一种保护措施。 ...
java 客户端请求服务器 ,在头部添加cookie
啊 啊哩路呀
06-25 5532
在做公司 的项目中,遇到了一个问题。子系统是会员系统方面的我们服务器需要请求对方服务器的网站接口,需要用到cookie。这是我们之前没有想到的,所以就没有做在架构里。所以,我就改了下架构:另起方法。implort org.apache.commons.httpclient.Cookie;import org.apache.commons.httpclient.HttpClient;Cookie c
java session header_JAVAWeb基础--request 、response、cookiesession
weixin_35677363的博客
03-06 157
1、response:响应 往浏览器写东西 响应行 操作状态码 常用方法: setStatus(int code): 1 2 3 响应头 格式: key:value(value可以是多个) 常用方法: setHeader(String key,String value):设置字符串形式的响应头 addHeader(String key,String value):添加字符串形式的响应头 若没有设置...
JavaWeb:深入理解CookieSession机制
- 获取所有Cookie:`Cookie[] cookies = request.getCookies();` - 创建Cookie:`Cookie cookie = new Cookie(String name, String value);` - 获取Cookie名称:`String name = cookie.getName();` - 获取Cookie...
JavaWeb使用SessionCookie实现登录认证
08-31
JavaWeb 使用 SessionCookie 实现登录认证 SessionCookieWeb 开发中两种常用的技术,分别用于实现用户会话和客户端数据存储。本文将详细介绍如何使用 SessionCookie 实现登录认证。 什么是 ...
JavaWeb中的SessionCookie机制:会话管理的隐秘角落
最新发布
LYFYSZ123的博客
02-05 1057
Web应用中,SessionCookie是两个重要的会话管理机制。通过合理使用这两者,可以有效地提高应用的用户体验和安全性。然而,它们也有各自的局限性和安全隐患。开发者需要根据具体需求选择合适的存储方式,采取有效的安全措施,避免常见的攻击手段,构建出高效且安全的Web应用。
JavaWeb(Session&Cookie)
qq_64001795的博客
04-05 1419
一、会话管理 1、概述: 双方的交流或交互,计算机中也是,浏览器和服务器的交互称之为会话。(版本1) 一次会话中包含多次请求和响应(浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。)(版本2) 例:张三给李四打电话,李四接通电话,会话就建立了,双方挂断电话则会话结束。 2、功能: 在一次会话的范围内的多次请求间,共享数据 限制页面的访问(后台的页面在非登录的情况下是不能进行访问的) 临时的存储...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
JavaWeb-CookieSession
孟孟的博客
04-14 574
Cookie&amp;Session一、会话技术简介1.存储客户端的状态       网站的购物系统,用户将购买的商品信息存储到哪里?因为Http协议是无状态的,也就是说每个客户访问服务器端资源时,服务器并不知道该客户端是谁,所以需要会话技术识别客户端的状态。会话技术是帮助服务器记住客户端状态(区分客户端)。2.会话技术        从打开一个浏览器访问某个站点,到关闭这个浏览器的整个过程,成为...
java session添加、获取、设置时长清除
Mr.Chen的博客
11-03 6225
目录 一:添加: 二:设置过期时长: 三:获取session中的值 四:清除 一:添加: HttpSession session = request.getSession(); session.setAttribute("customerInfo","1"); 二:设置过期时长: 1.1:在主页面或者公共页面中加入: session.setMaxInactiveInterva...
tomcat容器中Web 应用的web.xml配置
王和平的第三个果园
11-27 2907
web.xml 是web应用的描述文件, 它支持的元素及属性来自于Servlet 规范定义 。 在Tomcat 中,Web 应用的描述信息包括 tomcat/conf/web.xml 中默认配置 以及 Web 应用 WEB-INF/web.xml 下的定制配置。 ServletContext 初始化参数 <context-param> <param-name>contextConfigLocation</param-name> <param-value>cla
web.xml配置session详解
码出幸福人生
01-02 2999
在许多情况下,都可以在Java EE中直接使用HTTP会话,不需要添加显示地配置。不过可以在部署描述符中配置它们,并且出于安全地目的也应该配置。在部署描述符中使用&lt;session-config&gt;标签配置会话。 样例 &lt;session-config&gt; &lt;session-timeout&gt;30&lt;/session-timeout&gt; &lt;cook...
JavaWeb学习笔记(狂神版)--- 第九节 CookieSession
小菜鸡的小博客
01-21 2039
第九节 CookieSession 目录第九节 CookieSession9.1 会话9.2 Cookie9.3 Session 9.1 会话 会话:用户打开一个浏览器,点了很多超链接,访问多个web资源,关闭浏览器,这个过程可以称之为会话 有状态会话:一个客户端访问过服务端,下次再访问时,服务端会知道这个客户端访问过 一个网站,怎么证明客户访问过?(客户端->服务端) 服务端给客户端一个信件,客户端下次访问服务端带上这个“信件”即可->cookie 服务器登记了客户端来过,下
java 改变sessionid_java web登录前后改变sessionId标示的安全性问题解决
weixin_33820059的博客
02-27 2178
在我们打开web页面的时候,会有一个sessionId,登录之后,这个seesionId的值没变,一致存在,这种可能会变成会话固化安全漏洞,因此我们需要解决这种问题。解决方法很简单,在登录后改变这个会话的sessionId,这样这个未授权时的会话seesionId自然就失效,也不会产生固化的僵尸会话。一、在解决该问题之前,需要了解session会话的创建,session的创建方式主要有以下3种:/...
Cookie中的secure,httponly的属性和作用
最快的脚步不是跨越,而是继续;最慢的步伐不是缓慢,而是徘徊!
01-09 1851
(一)HttpOnly 1.什么是HttpOnly? 如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方...
Cookie/Session机制详解
Munger6的博客
09-26 378
转载自:https://blog.youkuaiyun.com/fangaoxin/article/details/6952954 最近在工作中遇到需求,大量的接口需要增加同一个传参,便采用了cookie方法,实时的传输当前的所需字段,这样避免了对接口的大规模的改造;但是需要掌握前端和后端的cookie的设置和获取;因此收集该文章已备后用; 会话(Session)跟踪是Web程序...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值