会话机制（Session和Cookie）

会话机制（Session和Cookie）

开发工具与关键技术：Visual Studio 前端

作者：盘子

撰写时间：2019年6 月 1日

     通过学习做登录了解到会话（Session）跟踪是Web程序中常用的技术，用来跟踪用户的整个会话。常用的会话跟踪技术是Cookie与Session。Cookie通过在客户端记录信息确定用户身份，Session通过在服务器端记录信息确定用户身份。在学习做登录页面中常有用Session和Cookie这两个机制，下面是对这Session和Cookie两个机制知识点的总结与学习以及展示学习过程的课堂代码截图。下面是做登录页面部分Cookie机制代码的截图，如图所示，通过获取Cookie将数据传递到页面，

见截图如下：

1. 那么什么是cookie？

Cookie是所有主流浏览器都支持的一种机制，也可以说是一小段记录用户状态的文本信息。Cookie机制可以弥补HTTP协议无状态的不足，进行跟踪会话。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容，Cookie还可以记录用户访问的次数。

注意：Cookie功能需要浏览器的支持。

如果浏览器不支持Cookie（如大部分手机中的浏览器）或者把Cookie禁用了，Cookie功能就会失效。不同的浏览器采用不同的方式保存Cookie。

 2、 Cookie具有不可跨域名性。

也就是很多网站都会使用Cookie，但是浏览器访问哪个网站，就只会携带哪个网站的cookie，也只能操作这个网站的cookie，而不能跨域去携带与操作其他网站的cookie。

Cookie在客户端是由浏览器来管理的。浏览器能够保证当前网站只会操作当前网站的Cookie而不会操作其他网站的Cookie，从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。每个网站的域名不一样，因此不能跨域操作其他网站的Cookie。

Cookie不仅可以使用ASCII字符与Unicode字符，还可以使用二进制数据，保存二进制图片。

3、Cookie常用属性：每个属性对应一个getter方法与一个setter方法。

String name     该Cookie的名称。Cookie一旦创建，名称便不可更改

Object value    该Cookie的值。如果值为Unicode字符，需要为字符编码。如果值为二进制数据，则需要使用BASE64编码

int maxAge   该Cookie失效的时间，单位秒。如果为正数，则该Cookie在maxAge秒之后失效。如果为负数，该Cookie为临时Cookie，关闭浏览器即失效，浏览器也不会以任何形式保存该Cookie。如果为0，表示删除该Cookie。默认为–1

boolean secure   该Cookie是否仅被使用安全协议传输。安全协议。安全协议HTTPS，SSL等，在网络上传输数据之前先将数据加密。默认为false

String path   该Cookie的使用路径。

String domain  可以访问该Cookie的域名。

String comment 该Cookie的用处说明。

4、Cookie的有效期：

Cookie的maxAge决定着Cookie的有效期，单位为秒（Second）。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。

如果maxAge属性为正数，则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化，即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑，只要还在maxAge秒之前，登录网站时该Cookie仍然有效。

如果maxAge为负数，则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效，关闭窗口后该Cookie即失效。maxAge为负数的Cookie，为临时性Cookie，不会被持久化，不会被写到Cookie文件中。Cookie信息保存在浏览器内存中，因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为–1。

如果maxAge为0，则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法，因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除。maxAge属性只被浏览器用来判断Cookie是否过期。

    当然也可以设置用户永久登录，记住登录信息，下次访问时不需要再次登录，直接访问即可。实现方法是把登录信息如账号、密码等保存在Cookie中，并控制Cookie的有效期，下次访问时再验证Cookie中的登录信息即可。

在这次登录中设置cookie的有效期，代码见下面的截图。

 5、Cookie的修改、删除

Cookie并不提供修改、删除操作。如果要修改某个Cookie，只需要新建一个同名的Cookie，添加到response中覆盖原来的Cookie。

如果要删除某个Cookie，只需要新建一个同名的Cookie，并将maxAge设置为0，并添加到response中覆盖原来的Cookie。注意是0而不是负数。负数代表其他的意义。读者可以通过上例的程序进行验证，设置不同的属性。

注意：修改、删除Cookie时，新建的Cookie除value、maxAge之外的所有属性，例如name、path、domain等，都要与原Cookie完全一样。否则，浏览器将视为两个不同的Cookie不予覆盖，导致修改、删除失败。

除了使用Cookie，Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

下面是有关session的部分代码，见截图如下：

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

Session可以实现用户登录，可以获取、传递、保存用户基础数据，验证账号、密码。登录成功，设置将用户的信息以及登录时间保存到Session，

登录界面验证用户登录信息，如果登录正确，就把用户信息以及登录时间保存进Session代码展示如上图。

Session的有效期

由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器，Session就自动失效了。

Session的超时时间为maxInactiveInterval属性，可以通过对应的getMaxInactiveInterval()获取，通过setMaxInactiveInterval(longinterval)修改。

Session的超时时间也可以在web.xml中修改。另外，通过调用Session的invalidate()方法可以使Session失效。

Session的常用方法：

void setAttribute(String attribute, Object value)

设置Session属性。value参数可以为任何Java Object。通常为Java Bean。value信息不宜过大

String getAttribute(String attribute)   返回Session属性

Enumeration getAttributeNames()   返回Session中存在的属性名

void removeAttribute(String attribute)  移除Session属性

String getId()  返回Session的ID。该ID由服务器自动创建，不会重复

long getCreationTime()返回Session的创建日期。返回类型为long，常被转化为Date类型

long getLastAccessedTime() 返回Session的最后活跃时间。返回类型为long

int getMaxInactiveInterval() 返回Session的超时时间。单位为秒。超过该时间没有访问，服务器认为该Session失效

void setMaxInactiveInterval(int second) 设置Session的超时时间。单位为秒

boolean isNew()  返回该Session是否是新创建的

void invalidate()   使该Session失效

  Session的正常运行需要客户端浏览器的支持，它需要依据Cookie来识别是否为同一用户。注意：Session中禁止使用cookie。

会话跟踪技术：Session和Cookie是Web程序中常用的技术，两者结合使用，如做登录要进行用户身份确认，把用户数据放到session中，获取用户类型名称、用户类型ID、传递用户数据、如果登录正确，在对用户信息与登录时间保存到Session中。使用cookie记住用户信息，记住密码，保存cookie。可以设置cookie的有效期，在这里设置了cookie的保存有效期为7天，当有效期设置为昨天或者说通过设置cookie的过期时间为负，浏览器会自动删除cookie或者说强制cookie过期（代码如上图所示）

最后是代码所实现的效果图，使用session和cookie机制完成的登录页面，见效果截图如下：