cookie和session两种会话技术

最新推荐文章于 2024-05-04 22:17:57 发布

原创最新推荐文章于 2024-05-04 22:17:57 发布 · 235 阅读

0 ·

CC 4.0 BY-SA版权

文章标签：

#session #cookie

JAVA 专栏收录该内容

145 篇文章

订阅专栏

1. 什么是会话

简单的理解：用户打开浏览器，点击多个超链接，访问Web服务器上多个资源，然后关闭浏览器，整个过程称之为一次会话。

需解决问题：每个用户与服务器进行交互的过程中，各自会有一些数据，程序想办法保存每个用户的数据

2. Cookie会话技术

2.1 Cookie定义

Cookie是客户端技术，程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去。这样web资源处理的就是各自的数据了

2.2 Cookie的规范

一个Cookie最多只有4kb，一个服务器最多只能发送到客户端20个Cookie，并且浏览器最多可以保存300个Cookie。

2.3 Cookie的作用

跟踪客户端状态——Cookie是服务器保存在客户端的信息，然后客户端会在下次请求时把Cookie再还给服务器，这样服务器就可以通过信息来识别客户端了。

2.4 Cookie的属性

Cookie最重要的4个属性为：

名字（name）

值（value）

路径（path）

域（domain）

2.5 Cookie的API

保存Cookie到客户端，这是响应工作的一部分，所以这个方法是response对象的，并且Cookie是HTTP协议的内容，所以保存Cookie时HtttpServletResponse类中的方法。

javax.servlet.http.Cookie类用于创建一个Cookie，response接口中定义了一个addCookie方法，void addCookie（Cookie c）：添加Cookie对象到当前的response对象中，这个方法可以被调用多次，从而完成添加多个Cookie对象到response中。它用于在其响应头中增加一个相应的Set-Cookie头字段。同样，request接口中也定义了一个getCookies方法，它用于获取客户端提交的Cookie，HttpServletRequset:Cookie[]getCookies()，它返回的是Cookie数组，而不是一个Cookie对象。如果请求中没有Cookie，那么该方法返回null。

Cookie类中的方法：

public Cookie(String name,String value)：Cookie的构造方式

String getName()：获取Cookie的名称

String getValue()：获取Cookie的值

void setMaxAge(int expiry)：设置有效时间，失效Cookie：setMaxAge(0)；前提条件是：设置有效路径（和之前设置过相同），cookie.setMaxAge(-1)：cookie的maxAge属性默认值就是-1，表示只在浏览器内存中存活。一旦关闭浏览器窗口，那么cookie就会消失。

void setPath(String uri)：设置有效路径

void setDomain(String pattern)；设置有效域名

2.6 Cookie的分类

会话级别Cookie：保存在浏览器中，浏览器关闭Cookie就失效了

持久的Cookie：存到本地的文件中，需要设置有效的保存时间（通过setMaxAge(int a)进行设置）

3 Session会话技术

Session是服务端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的Session对象，由于Session为用户浏览器独享，所以用户把各自的数据放在各自的Session中，当用户再去访问服务器中其他的web资源时，其他web资源再从用户各自的Session中取出数据为用户服务。Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到Session对象

1）Session也是域对象之一，它的范围是在一个会话范围内有效。Session既然是域对象，那么当然就有getAttribute()和setAttribute()方法

2）在一个会话内共享一个Session对象，所以Session中可以保存一个会话内的数据。

3）Session的范围大于request，可以在一个会话中多个请求之间共享数据。但Session的范围小于application，Session不能再多个用户之间共享数据

3.1 获取Session对象

使用request.getSession()方法获取Session对象。一旦用户关闭浏览器，Session失效

3.2 Session的实现原理

我们都知道HTTP是无状态协议，但是为什么session可以跟踪会话状态呢？因为，session依赖Cookie。利用cookie回写了一个JSESSIONID（JESSIONID就是为每个seesion起一个唯一的标识）

类似于银行卡，卡上只有一个ID，其他什么都没有，表示金额的这个数据在银行的数据库里。那为什么在ATM上我们只需要把卡插入就可以看到卡上余额呢？原因是ATM获取卡上的ID，然后通过ID去银行数据库中查找对应的账户！每个账户都有一个ID属性，账户上可能还会有密码属性、余额属性等。每张卡上只有一个ID，再没有其他的东西了。但ATM可以读取卡上的ID，然后去银行数据库中查找对应的账户！所以你大可以放心，银行卡坏掉了没有关系，钱不会掉的，因为账户余额在银行的数据库中，你只需要重新去银行办一张卡，把你的卡号置入到新卡中就OK了。

每个session对象都有一个id属性，session就相当于银行的账户。而sessionId就相当于卡！银行数据库就是Tomcat服务器，而手里只有卡的我们就是客户端浏览器。

当你第一次去银行办理业务时，这需要办一张卡，然后你需要拿着卡回家，下一次再去银行办理业务时就不需要再办卡了，但你不要忘记带着卡去银行。

当客户端第一次访问服务器时，服务器会为客户端创建一个session对象，然后把session对象放到session池中，在响应时把sessionId通过Cookie响应给客户端。注意，只有在第一次访问时，服务器才会创建session，给客户端响应sessionId。从此以后就不会了！

当客户端再次访问服务器时，会在请求中带着sessionId给服务器，服务器通过sessionId到session池中找到session对象，这就可以完成会话跟踪了。也就是说，服务器端保存的是session对象，而客户端只有sessionId。每次访问都需要通过客户端的sessionId来匹配服务器端的session对象！这样用户在session中保存的数据就可以再次被使用了。

sessionId是服务器通过Cookie发送给客户端浏览器的，这个Cookie的maxAge为-1，即只在浏览器内存中存在。如果你关闭所有浏览器窗口，那么这个Cookie就会消失了！

3.3 session失效

session失效有如下几个原因：

1）客户端的请求中没有sessionId。可能是因为这是第一次请求（开始一个新的会话），也可能是服务器设置Cookie的maxAge为0导致的；（客户端没有银行卡）

2）客户端请求中存在sessionId，但这个sessionId在session池中没有匹配的session对象。这可能是因为session太久没有使用，服务器把session从池中移除的原因；（银行卡没有对应的银行账户）

3）客户端请求中存在sessionId，但匹配的session对象被标记为失效！这可能是因为服务器调用了session.invalidate()方法导致的。（银行账户找到了，但账户已被冻结）

3.4 与session相关的方法

String getId()：获取sessionId；

int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟。当session在30分钟内没有使用，那么Tomcat会在session池中移除这个session；

void setMaxInactiveInterval(int interval)：设置session允许的最大不活动时间（秒），如果设置为1秒，那么只要session在1秒内不被使用，那么session就会被移除；

long getCreationTime()：返回session的创建时间，返回值为当前时间的毫秒值；

long getLastAccessedTime()：返回session的最后活动时间，返回值为当前时间的毫秒值；