1.jsp 底层原理
在第一次发送请求时,会把 jsp 文件转义为 java(servlet) 代码,并进一步编译为 class 文件
把页面上的静态内容(html代码),使用 out.write 方法进行打印,其中 out 对应着响应的字符输出流
至于 `<% 代码 %>` 中的代码会原封不动搬移到 jsp 转义生成的 java 代码中本质仍是一个 servlet
例如:
打开 D:\Program Files\apache-tomcat-8.5.37\webapps\ROOT , 新建一个test.jsp ,
在第一次发送请求时,在 D:\Program Files\apache-tomcat-8.5.37\work\Catalina\localhost\ROOT\org\apache\jsp , 多出如下文件:
打开 test_jsp.java , 其中 _jspService 相当于 servlet 中的 service() , 所以本质仍是一个 servlet
public void _jspService(final javax.servlet.http.HttpServletRequest request, final javax.servlet.http.HttpServletResponse response)
throws java.io.IOException, javax.servlet.ServletException {
...
final javax.servlet.jsp.PageContext pageContext;
javax.servlet.http.HttpSession session = null;
final javax.servlet.ServletContext application;
final javax.servlet.ServletConfig config;
javax.servlet.jsp.JspWriter out = null;
final java.lang.Object page = this;
javax.servlet.jsp.JspWriter _jspx_out = null;
javax.servlet.jsp.PageContext _jspx_page_context = null;
try {
...
out.write("\r\n");
out.write("<!DOCTYPE html>\r\n");
out.write("<html lang=\"en\">\r\n");
out.write("<head>\r\n");
out.write(" <meta charset=\"UTF-8\">\r\n");
out.write(" <meta name=\"viewport\" content=\"width=device-width, initial-scale=1.0\">\r\n");
out.write(" <meta http-equiv=\"X-UA-Compatible\" content=\"ie=edge\">\r\n");
out.write(" <title>Document</title>\r\n");
out.write("</head>\r\n");
out.write("<body>\r\n");
out.write(" ");
int a = 10;
out.print(a);
out.write("\r\n");
out.write("</body>\r\n");
out.write("</html>");
} catch (java.lang.Throwable t) {
if (!(t instanceof javax.servlet.jsp.SkipPageException)){
...
} finally {
...
}
2.生成动态内容的方式
新的方式
jstl 标签 + EL 表达式 (推荐)
旧的方式
1) `<% 代码 %>` 称为jsp脚本, 其中的变量是方法内的局部变量
2) `<%= 表达式%>` 称为jsp表达式, 用来输出值,不用加;结束
使用jsp表达式获取作用域内容 `<%= request.getAttribute("name") %>`
使用el表达式获取作用域的内容 `${name}`
3) `<%! 代码 %>` jsp的声明, 其中的变量是类的成员变量
4) 注释 `<%-- 注释内容 --%>` 会阻止java代码的运行,包括 jstl 标签和 EL 表达式 都可以使用这种办法注释
5) `<%@ 指令名 %>`
* page 用来指明页面的内容类型和编码方式 , isELIgnored="true|false" 表示是否忽略 EL 表达式
* taglib 用来引入一个标签库 prefix="前缀" uri="标签库的标识"
* include 用来执行页面的包含操作<%@ include file="文件路径" %>
3.维护状态 : 记住用户名密码这些参数的操作,称之为维护状态(记住这些信息)
(1) cookie
#cookie 本意是小甜点, 在web开发中是用来维系状态的一种技术
#服务器要向浏览器返回cookie
Cookie c = new Cookie(名, 值);
response.addCookie(c);
浏览器再发送请求时,会把这些cookie值重新发送给服务器
Cookie[] cookies = request.getCookies();
// 遍历 cookies 数组
#cookie 的属性
##maxAge 用来设置 cookie 的寿命,
* 默认不设置(-1)表示浏览器关闭寿命就到期
* 指定一个正整数(单位秒),指定cookie存活多久
* 设置为 0,表示由服务器端删除该cookie
##httpOnly 用来设置是否禁止 js 代码访问 cookie
例如:
@WebServlet(urlPatterns = "/cookieResp")
public class CookieRespServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
Cookie up = new Cookie("up", "zhangsan:123");
up.setMaxAge(3600); // 一小时
up.setHttpOnly(true); // 不允许 js 代码操作这个 cookie , 否则,可以使用 document.cookie 访问到cookie
resp.addCookie(up);
resp.getWriter().print("cookie added...");
}
}
@WebServlet("/cookieReq")
public class CookieReqServlet extends HttpServlet {
@Override
protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
Cookie[] cookies = req.getCookies();
for (Cookie cookie : cookies) {
System.out.println(cookie.getName() + " " + cookie.getValue());
}
}
}
打开浏览器右上角,点击设置 ,搜索cookie, 选择 内容设置-> cookie ->查看所有Cookies和网站数据,搜索localhost, 可以看到up已添加至cookie中
#有安全风险,因为信息是存储在浏览器端的
(2)session
把这些状态信息存储在服务器端,安全性要比 cookie 高很多
1) 存储信息
// 拿到 session 对象
HttpSession session = request.getSession();
// 存储信息
session.setAttribute("名", 值);
2) 获取信息
// 拿到 session 对象
HttpSession session = request.getSession();
// 获取信息
session.getAttribute("名"); // 返回上一次存储的值
3) 删除信息
session.removeAttribute("名"); // 返回被移除的值
session.invalidate(); // 让session失效(全部清空)
4)生命周期
默认生命周期,
第一次调用 request.getSession() 创建 session对象
如果隔了 30 分钟没有向服务器发送请求,session 会自动失效
如果要改变失效时间,可以在 web.xml中:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
5)跟浏览器的关系:一个浏览器对应服务器端的一个 session 对象 他们存储的信息互不干扰
6)对比 cookie 和 session
* 安全性上, session的安全性高,cookie的信息存在浏览器端所以不安全
* 存储的类型, session 存储的类型是 Object, cookie 只能存字符串(并且需要进行编码处理)
* 存储大小, session 理论上没有限制(但不建议存储太多内容), cookie 的限制:每个cookie不能超过4k,每个网站cookie个数也有限制的
* 失效时间, session 两次请求间隔30分钟, cookie 默认关闭浏览器失效,还可以通过 maxAge 调整的更长
例:登录注销和session相结合
详见https://blog.youkuaiyun.com/xing_ran_ran/article/details/86498550