Session --VS--Cookie

最新推荐文章于 2023-04-03 08:30:00 发布

原创最新推荐文章于 2023-04-03 08:30:00 发布 · 966 阅读

0 ·

CC 4.0 BY-SA版权

Web积累专栏收录该内容

5 篇文章

订阅专栏

本文介绍会话管理技术，包括Cookie和Session的区别、工作原理及应用场景。详细解释了Cookie的属性、读写方式、类型和Session的创建、生命周期管理等。

摘要生成于 C知道，由 DeepSeek-R1 满血版支持，前往体验 >

什么是会话？

用户打开浏览器，访问一个网站进行一系列操作，关闭浏览器离开，完整过程就是会话

Cookie : 一种将用户信息保存在客户端技术，客户端会将cookie信息自动发送给服务器

Session ：一种将用户信息保存在服务器端技术，客户端（cookies中）会持有Session信息对应key，通过key找到session信息

Session 占用服务器空间，安全性更高，Cookie节省服务器资源，安全性差一些。

1、Cookie是什么？有什么属性

1.1属性：

name:Cookie的名称。必须的。
value:对应的值。必须的。
maxAge：最大值。Cookie生命时长。默认是一次会话过程，它是存在于浏览器的进程中---内存。
domain：域名。
path：路径。默认是当前写Cookie的那个程序的访问路径
comment：注释，备注
version：版本号

如果写的Cookie的路径是: /day05/servlet/

当访问的新的资源路径是：http://localhost:8080/day05/CookieDemo1    浏览器不会带上刚才的Cookie。
如果写的Cookie的路径是：/day05
当访问的新的资源路径是：http://localhost:8080/day05/servlet/CookieDemo1 浏览器会带上刚才的Cookie。

   浏览器带不带上自己缓存的Cookie：域名要一样。当前访问的资源的路径.startWith(Cookie的路径)，为true就带。

1.2特点：

每个浏览器针对一个网站最多能存20个Cookie，总共300个，且每个Cookie的大小不能超过4KB。要使用Cookie存放尽可能少的关键数据。

1.3Cookie的读写：

写给客户端：HttpServletResponse.addCookie(Cookie c)，实际上就是写了一个响应消息头：Set-Cookie:cookiename=cookievalue

读客户端的Cookie：HttpServletRequest.getCookies() ，实际上就是读取一个请求消息头：Cookie:cookiename=cookievalue

1.4如何唯一确定一个Cookie：

domain+path+name

localhost/day05_cookieSession/servlet lastAccessTime

localhost+/day05_cookieSession/servlet+lastAccessTime

1.5如何删掉指定的Cookie

设置Cookie的生命时间为0，写回客户端。
要想删除成功：domian+path+name必须一样（不严格）

Cookie cookie = new Cookie("lastAccessTime","");
cookie.setMaxAge(0);

response.addCookie(cookie);

1.6 Cookie API 详解

1 读取cookie
request.getCookies() 返回Cookie[]
首先判断cookies数组是否存在 cookies == null，如果cookies存在，根据cookie的name去查找指定cookie

2、服务器向客户端发送cookie
cookie对象创建 new Cookie(name,value)
response.addCookie(cookie) 将cookie发送客户端

* cookie有name和value，提供三个方法 getName getValue setValue

3、cookie从持久性上分为两类会话cookie和持久cookie

会话cookie 保存在浏览器内存中cookie，当会话结束浏览器关闭，会话cookie信息就是丢失
持久cookie 保存在浏览器临时文件缓存区中cookie （硬盘上），当关闭浏览器结束会话，持久cookie不会被删除
持久cookie存在过期时间，过期后会自动删除
持久cookie 需要设置cookie 有效期 setMaxAge

Set-Cookie: lastvisit=1350617047968; Expires=Fri, 19-Oct-2012 04:24:07 GMT

4、cookie访问有效路径
携带cookie 必须path一致
默认 http://localhost/day7/visit 生成cookie ---- 默认path 就是/day7/ (visit资源所在目录就是默认path)
* 只有在访问 http://localhost/day7/ 目录和子目录情况下才会携带cookie 信息
path也可以手动指定 setPath
newLastVisitCookie.setPath("/abc");
抓取信息：
Set-Cookie: lastvisit=1350617427109; Expires=Fri, 19-Oct-2012 04:30:27 GMT; Path=/abc
再次访问：http://localhost/day7/visit 不会携带cookie信息，因为path 不符合

最简单方案：setPath("/");

Set-Cookie: lastvisit=1350617644468; Expires=Fri, 19-Oct-2012 04:34:04 GMT; Path=/

5、cookie有效域名
setDomain 设置cookie有效域名 ---- 例如：setDomain(".itcast.cn"); 传智播客网站的cookie

访问A 网站，生成 B网站 Cookie ----- 第三方cookie （恶意cookie）

访问A 网站，生成A 网站Cookie ----- 第一方Cookie（安全cookie ）

6、删除持久cookie
删除持久cookie，可以将cookie最大时效设为0，注意，删除cookie时，path必须一致，否则不会删除

记录上次访问时间案例

1、第一次访问VisitServlet
请求中没有cookie信息
响应中 Set-Cookie: lastvisit=1350615153109

* Cookie信息保存浏览器缓存中

2、第二次访问VisitServlet
请求中 Cookie: lastvisit=1350615153109
响应中 Set-Cookie: lastvisit=1350615241359
默认cookie都是浏览器内存中进行缓存的，当浏览器关闭，会话结束，内存释放
* 从request请求中查找指定name的cookie信息
public Cookie findCookie(Cookie[] cookies, String name) {
if (cookies == null) {
// 不存在任何cookie
return null;
} else {
// 存在cookie，查找指定cookie
for (Cookie cookie : cookies) {
if (cookie.getName().equals(name)) {
// 找到了
return cookie;
}
}
// 没有找到
return null;
}
}
* 服务器端向客户端写出一个新的cookie
Cookie newLastVisitCookie = new Cookie("lastvisit", System.currentTimeMillis()+ "");
response.addCookie(newLastVisitCookie);

二 Session的原理:

Session 将用户相关信息保存服务器端，服务器会为每个浏览器创建单独Session对象，每个用户各自数据保存各自浏览器对应Session对象中。不同用户获取到各自浏览器对应Session 保存数据。

Session对象创建： request.getSession();

服务器端会为每个浏览器创建单独Session对象，如何做到的？

* Session 通过cookie 传输 JSESSIONID 用来在服务器端查找对应Session对象

问题：如何实现关掉浏览器后，再开浏览器，上次购买的商品还在。

1、第一次访问响应
Set-Cookie: JSESSIONID=7B67782D880A07ADADA64A312ED23D72; Path=/day7
2、第二次访问请求
Cookie: JSESSIONID=7B67782D880A07ADADA64A312ED23D72
关闭浏览器重新打开

3、直接访问 session2 : 无法访问刚才Session信息

解决方案：将jsessionid 信息保存持久Cookie
Cookie cookie = new Cookie("JSESSIONID", session.getId());
cookie.setMaxAge(60 * 60 * 24);
cookie.setPath("/");
response.addCookie(cookie);
抓取响应
Set-Cookie: JSESSIONID=4E14F3FD831BDAD3C532C13568EEA358; Path=/day7

Set-Cookie:JSESSIONID=4E14F3FD831BDAD3C532C13568EEA358;Expires=Sat, 20-Oct-2012 06:37:50 GMT; Path=/

浏览器禁用Cookie之后，Session还能否使用？可以的，但浏览器无法保存cookie中jsession id ，无法完成Session追踪

JSESSIONID=985E0B491708994C0039BEFC0B277056; Path=/day7

第二次请求服务器：
http://localhost/day7/session2;jsessionid=985E0B491708994C0039BEFC0B277056
通过程序生成URL （携带jsessionid的URL ）： URL重写

使用URL重写，必须该网站所有路径都使用URL重写，实际应用中很少采用

Session的生命周期

1、Session对象创建： request.getSession() 执行时（当前会话第一次执行）

2浏览器如果关闭后，Session对象是不是就销毁了？

不是，Session保存在服务器端，和浏览器是否关闭没有关系，关闭浏览器时删除会话cookie，丢失jsessionid，没有jsession无法找到服务器端对应Session

三种销毁Session对象情况：

1、不正常关闭服务器（正常关闭服务器Session信息会被序列化到硬盘中保存tomcat/work目录）

2、Session过期默认过期时间在tomcat/conf/web.xml 配置
<session-config>
<session-timeout>30</session-timeout>
</session-config>
* 默认Session对象过期时间30分钟（连续不使用Session对象时间）

* 也可以手动设置 setMaxInactiveInterval(int interval)

3、在程序中执行 session.invalidate() 手动销毁Session对象

问题：session.removeAttribute 和 session.invalidate区别？

session.removeAttribute 删除当前Session对象中一个属性值
session.invalidate 销毁当前Session对象，删除所有属性

* 用户之间没有影响（用户购物车、用户登录信息）

Servlet三种数据访问范围：ServletContext 、HttpSession、HttpServletRequest

1、保存ServletContext数据，在服务器关闭时才会删除，生命周期最长，全局都可以访问（最少使用）
* 网站访问次数、全局数据库连接池需要保存ServletContext
2、保存HttpSession数据，三种情况下丢失，主要保存用户相关数据 (不建议存放大规模数据)
* 用户登录信息、购物信息保存HttpSession
3、保存HttpServletRequest，当前请求发生时产生，响应结束数据立刻释放 (生命周期最短，最建议使用)

* Servlet获得数据处理结果，通过请求转发传递信息给JSP显示

ServletContext 每个web工程对应唯一对象，全局的Servlet上下文对象，允许将数据保存ServletContext 。所有 Servlet共享。

HttpServletRequest 每次请求产生一个HttpServletRequest对象，允许将数据保存request对象中，结合请求转发一起使用当请求结束后，数据就会删除。
HttpSession 服务器会为每个客户端创建单独Session对象，允许将数据保存session中，session保存的是每个用户各自的数据

三种数据范围提供相同几个方法
setAttribute
getAttribute
removeAttribute