JSP底层原理+cookie+session

原创 于 2019-01-15 21:41:49 发布 · 291 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文深入解析JSP的工作机制,包括初次请求时的转换与编译过程,以及如何使用JSTL标签和EL表达式生成动态内容。同时,探讨了通过cookie和session维护状态的方法,比较了它们在安全性、存储类型、大小和失效时间上的差异。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1.jsp 底层原理

在第一次发送请求时,会把 jsp 文件转义为 java(servlet) 代码,并进一步编译为 class 文件

把页面上的静态内容(html代码),使用 out.write 方法进行打印,其中 out 对应着响应的字符输出流
至于 `<% 代码 %>` 中的代码会原封不动搬移到 jsp 转义生成的 java 代码中

本质仍是一个 servlet

例如: 

打开 D:\Program Files\apache-tomcat-8.5.37\webapps\ROOT , 新建一个test.jsp , 

在第一次发送请求时,在 D:\Program Files\apache-tomcat-8.5.37\work\Catalina\localhost\ROOT\org\apache\jsp , 多出如下文件:

打开 test_jsp.java , 其中 _jspService 相当于 servlet 中的 service() , 所以本质仍是一个 servlet

public void _jspService(final javax.servlet.http.HttpServletRequest request, final javax.servlet.http.HttpServletResponse response)
      throws java.io.IOException, javax.servlet.ServletException {

    ...
    final javax.servlet.jsp.PageContext pageContext;
    javax.servlet.http.HttpSession session = null;
    final javax.servlet.ServletContext application;
    final javax.servlet.ServletConfig config;
    javax.servlet.jsp.JspWriter out = null;
    final java.lang.Object page = this;
    javax.servlet.jsp.JspWriter _jspx_out = null;
    javax.servlet.jsp.PageContext _jspx_page_context = null;


    try {
     ...

      out.write("\r\n");
      out.write("<!DOCTYPE html>\r\n");
      out.write("<html lang=\"en\">\r\n");
      out.write("<head>\r\n");
      out.write("    <meta charset=\"UTF-8\">\r\n");
      out.write("    <meta name=\"viewport\" content=\"width=device-width, initial-scale=1.0\">\r\n");
      out.write("    <meta http-equiv=\"X-UA-Compatible\" content=\"ie=edge\">\r\n");
      out.write("    <title>Document</title>\r\n");
      out.write("</head>\r\n");
      out.write("<body>\r\n");
      out.write("    ");

        int a = 10;
        out.print(a);
    
      out.write("\r\n");
      out.write("</body>\r\n");
      out.write("</html>");
    } catch (java.lang.Throwable t) {
      if (!(t instanceof javax.servlet.jsp.SkipPageException)){
      ...
    } finally {
      ...
    }

2.生成动态内容的方式

新的方式
jstl 标签 + EL 表达式 (推荐)

旧的方式
1)  `<% 代码 %>`      称为jsp脚本, 其中的变量是方法内的局部变量
2)  `<%= 表达式%>`    称为jsp表达式, 用来输出值,不用加;结束
使用jsp表达式获取作用域内容 `<%= request.getAttribute("name") %>`
使用el表达式获取作用域的内容 `${name}`
3) `<%! 代码 %>`  jsp的声明, 其中的变量是类的成员变量

4) 注释 `<%-- 注释内容 --%>`  会阻止java代码的运行,包括 jstl 标签和 EL 表达式 都可以使用这种办法注释

5) `<%@ 指令名 %>`
    * page  用来指明页面的内容类型和编码方式 , isELIgnored="true|false" 表示是否忽略 EL 表达式
    * taglib 用来引入一个标签库  prefix="前缀" uri="标签库的标识"
    * include 用来执行页面的包含操作

<%@ include file="文件路径" %>

3.维护状态 : 记住用户名密码这些参数的操作,称之为维护状态(记住这些信息)

(1) cookie

#cookie 本意是小甜点, 在web开发中是用来维系状态的一种技术

#服务器要向浏览器返回cookie

Cookie c = new Cookie(名, 值);
response.addCookie(c);

浏览器再发送请求时,会把这些cookie值重新发送给服务器 

Cookie[] cookies = request.getCookies();
// 遍历 cookies 数组

#cookie 的属性

  ##maxAge 用来设置 cookie 的寿命,
 * 默认不设置(-1)表示浏览器关闭寿命就到期 
 * 指定一个正整数(单位秒),指定cookie存活多久
 * 设置为 0,表示由服务器端删除该cookie 

  ##httpOnly 用来设置是否禁止 js 代码访问 cookie

例如:

@WebServlet(urlPatterns = "/cookieResp")
public class CookieRespServlet extends HttpServlet {

    @Override
    protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Cookie up = new Cookie("up", "zhangsan:123");
        up.setMaxAge(3600); // 一小时
        up.setHttpOnly(true); // 不允许 js 代码操作这个 cookie , 否则,可以使用 document.cookie 访问到cookie

        resp.addCookie(up);
        resp.getWriter().print("cookie added...");
    }
}


@WebServlet("/cookieReq")
public class CookieReqServlet extends HttpServlet {
    @Override
    protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Cookie[] cookies = req.getCookies();
        for (Cookie cookie : cookies) {
            System.out.println(cookie.getName() + " " + cookie.getValue());
        }
    }
}

打开浏览器右上角,点击设置 ,搜索cookie, 选择 内容设置-> cookie ->查看所有Cookies和网站数据,搜索localhost, 可以看到up已添加至cookie中

#有安全风险,因为信息是存储在浏览器端的 

(2)session

把这些状态信息存储在服务器端,安全性要比 cookie 高很多

1) 存储信息

// 拿到 session 对象
HttpSession session = request.getSession();
// 存储信息
session.setAttribute("名", 值);


2) 获取信息

// 拿到 session 对象
HttpSession session = request.getSession();
// 获取信息 
session.getAttribute("名"); // 返回上一次存储的值


3) 删除信息

session.removeAttribute("名"); // 返回被移除的值

session.invalidate(); // 让session失效(全部清空)

4)生命周期

默认生命周期, 
第一次调用 request.getSession() 创建 session对象
如果隔了 30 分钟没有向服务器发送请求,session 会自动失效

如果要改变失效时间,可以在 web.xml中:

<session-config>
    <session-timeout>30</session-timeout>
</session-config>

5)跟浏览器的关系一个浏览器对应服务器端的一个 session 对象   他们存储的信息互不干扰

6)对比 cookie 和 session

* 安全性上, session的安全性高,cookie的信息存在浏览器端所以不安全
* 存储的类型, session 存储的类型是 Object, cookie 只能存字符串(并且需要进行编码处理)
* 存储大小, session 理论上没有限制(但不建议存储太多内容), cookie 的限制:每个cookie不能超过4k,每个网站cookie个数也有限制的
* 失效时间, session 两次请求间隔30分钟, cookie 默认关闭浏览器失效,还可以通过 maxAge 调整的更长

例:登录注销和session相结合  

详见https://blog.youkuaiyun.com/xing_ran_ran/article/details/86498550

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值