会话跟踪Session与Cookie

会话跟踪Session与Cookie

一、概述

• 会话:用户打开浏览器,访问web服务器的资源,会话建立,直到有一方断开连接,会话结束,在一次会话中可以包含多个请求和响应
• 会话跟踪:一种维护浏览器状态的方法,服务器需要识别多次请求是否来自同一浏览器,以便在同一次会话的多次请求间共享数据
• HTTP协议是无状态的,每次浏览器向服务器请求是,服务器都会将该请求视为新的请求,因此为我们需要会话跟踪技术来实现会话内数据共享.
• 实现方式:
  • 客户端会话跟踪技术:Cookie
  • 服务端会话跟踪技术:Session

二、Cookie会话

• Cookie:客户端会话跟踪技术,将数据保存到客户端,以后每次请求都携带Cookie数据进行访问.

1、Cookie 基本使用：

• 创建Cookie 对象,存储数据
  Cookie cookie = new Cookie("key","value");
• 发送Cookie到客户端:使用response对象:
  response.addCookie(cookie);
• 获取客户端携带的所有Cookie,使用request对象:
  Cookie[] cookies = request.getCookies();
  • 遍历数据,获取每一个Cookie对象:for
• 使用Cookie获取方法获取数据
  cookie.getName();//获取Cookie的键
cookie.getValue();//获取Cookie的值
• 设置Cookie的访问路劲
  cookie_username.setPath( "/login.html");//设置kookie的访问路劲,如果cookie的路劲和要访问页面的路劲不匹配,前端页面将访问不到
  • 是否要前端脚本能显示cookie
    cookie_password.setHttpOnly(false);//默认值为False

2、Cookie的实现是基于HTTP协议的:

• 每次请求和响应都是传递相同的Cookie
  • 响应头:set-cookie
  • 请求头:cookie
    
  • 原理:当浏览器发出请求,服务器做出响应,当要发一个Cookie数据的时候,就在响应数据里面加入一个响应头(set-cookie),值就是cookie键值对,浏览器就接收并解析响应头,把值存入Cookie内存中,当再次访问服务器b的时候,会在请求数据里面加入一个请求头(cookie),值就是cookie键值对,访问Servletb并把请求头解析,把cookie键值对提取出来.

3、Cookie 使用细节

• Cookie存活时间
  • 默认情况下,Cookie存储在浏览器内存中,当浏览器关闭,内存释放,则Cookie被销毁
  • setMaxAge(int seconds):设置Cookie存活时间
    • 正数:将Cookie 写入浏览器所在电脑的硬盘,持久化存储,到时间自动删除.
    • 负数:默认值,Cookie在当前浏览器内存中,当浏览器关闭,则Cookie被销毁.
    • 0:删除对应的 Cookie
• Cookie存储中文:
  • Cookie 不能直接存储中文
  • 如需要存储,则需要进行转码,URL编码

三、Session会话

• 服务端会话跟踪技术:将数据保存得到服务端。
• JavaEE 提供 HttpSession 接口,来实现一次会话的多次请求键数据共享功能。

1、基本使用:

• 获取 Session 对象
  HttpSession session = request.getSession();
• Sssion 对象功能
  void setAttribute(String name,Object o)存储数据到 session 域中
  Object getAttribute(String name):根据key,获取值
  void removeAttribute(String name):根据key,删除该键值对

2、Session 原理:

Session是基于Cookie实现的;

• 第一次请求的时候,发现具有Session,Session有唯一的标识id(10),tomcat给对应的浏览器做出响应,把Session的id当做Cookie(set-cookie:JSEESIONID=10)发给客户端浏览器,客户端浏览器把id存储到Cooki中;当客户端给服务器发送请求(cookie:JSESSIONID=10)的时候,服务器收到请求,并在Session域中寻找对应的id,找到则直接用（JSEESIONID保证了当前的浏览器是与服务器交互的浏览器，同时JSEESIONID的一致性也能使每次请求都能找到对应的存储session空间的数据，从对应的session域中拿到登录成功保存的信息。）,找不到就创建新的

3、Session 钝化,活化:

• 服务器重启后,Session中的数据是否还在:
  • 钝化:服务器器正常关闭,Tomcat会自动将Session数据写入硬盘的文件中
  • 活化:再次启动服务器后,从文件中加载到Session中

4、Session 销毁

• 默认情况下:无操作,30分钟自动销毁

  	<session-config>
  	  <session-timeout>30</session-timeout>
  	</session-config>
  

• 调用 Session 对象的 invalidate()方法,立即失效

四、案例:用户登录注册:

1、原理流程

客户端向服务器发送请求，如果是第一次请求服务器，服务器的过滤器会判断session中没有用户信息，重定向到登录页面，输入账号和密码发送请求，用户信息验证成功后，服务端把用户信息存储到session中，跳转到功能页面，并返回第一个名为set-cookie:JSEESIONID=10作为Cookeie，以后每次请求都会携带JSEESIONID和,服务器收到请求,并在Session域中寻找对应的id,找到则直接用，JSEESIONID保证了当前的浏览器是与服务器交互的浏览器，同时JSEESIONID的一致性也能使每次请求都能找到对应的session，从对应的session域中拿到登录成功保存的信息。

2、用户登录

获取用户提交数据:

• 登陆成功,重定向到登录成功页面,并将用户对象存到session域中,在重定向页面中展示,直到会话结束.
• 登录失败,跳转到登录页面,并将登录失败等信息存到request域中,跳转到登录界面

3、记住用户

• 如果用户勾选"记住用户",则下次访问登录页面自动填充用户名和密码
• 如何自动填充用户名和密码?
  • 将用户名和密码写入Cookie中,并持久化存储Cookie,下次访问浏览器自动从浏览器- - Cookie中提取;
  • 在页面获取Cookie数据后,设置到用户名和密码框中
• 何时写Cookie?
  • 登录成功后
• 禁用浏览器缓存:

	//禁止浏览器使用缓存，防止退出登录后后退回页面
  	resp.setDateHeader("Expires", 0);
	resp.setHeader("Cache-Control", "no-cache, no-store");
 	resp.setHeader("Pragma", "no-cache");

4、注册案列

• 保存用户信息到数据库
• 验证码功能:
  • 展示验证码:展示验证码:展示验证码图片,并可以点击切换
  • 获取验证码:验证码填写不正确,则注册失败;

5、编写过滤器

import javax.servlet.*;
import javax.servlet.annotation.*;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.util.Date;

@WebFilter("/*")
public class LoginFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {

        HttpServletRequest req = (HttpServletRequest) servletRequest;
        HttpServletResponse resp = (HttpServletResponse) servletResponse;

        String[] urls = {"/index.html","/user/LoginServlet","/content.js","/automatic.js","/jsonabc.js","/format-lib.js","/common.js","/automatic.js","/vue.min.js","/axios.min.js","/index.js","/index.css","/checkCodeServlet","/element-icons.woff","/*.png"};
//如果存在上面这些路径就放行
        String url = req.getRequestURL().toString();
        for (String str:urls){
            if (url.contains(str)){
                filterChain.doFilter(req,resp);
                return;
            }
        }

        resp.setDateHeader("Expires", 0);
        resp.setHeader("Cache-Control", "no-cache, no-store");
        resp.setHeader("Pragma", "no-cache");

        HttpSession session = req.getSession();
        Object user =  session.getAttribute("user");
        //判断user是否为null,如果为空说面没有登录，就跳转d登录页面
        if(user != null){
            System.out.println(new Date()+"doFilter执行-->"+user);
            filterChain.doFilter(req,resp);
        }else{
            System.out.println(new Date()+"doFilter执行-->没有session");
            resp.sendRedirect("/index.html");
            // req.getRequestDispatcher("/index.html").forward(req,resp);
        }
    }