JavaWeb之cookie和session

原创已于 2025-07-04 16:59:08 修改 · 595 阅读

5 ·

CC 4.0 BY-SA版权

文章标签：

#服务器 #java #servlet

于 2022-08-18 19:03:51 首次发布

本文详细介绍了HTTP协议中的会话管理技术，包括Session和Cookie的基本概念、实现原理、使用方法及特点。Session主要用于在服务器端保存会话状态，而Cookie则是将数据存储在客户端。两者都是为了解决HTTP协议的无状态特性，但Cookie有大小和数量限制，安全性较低，常用于存储少量非敏感数据；Session则更安全，但服务器端存储可能导致资源消耗。此外，还讨论了如何通过设置Cookie的MaxAge和Path属性来实现持久化和共享。

1.session

1.1 基本概念

（1）什么是会话？

用户打开浏览器，进行一系列操作，然后最终将浏览器关闭，这个整个过程叫做：一次会话。会话在服务器端也有一个对应的java对象，这个java对象叫做：session。
什么是一次请求：用户在浏览器上点击了一下，然后到页面停下来，可以粗略认为是一次请求。请求对应的服务器端的java对象是：request。
一个会话当中包含多次请求（一次会话对应N次请求）

（2）在java的servlet规范当中，session对应的类名：HttpSession（jarkata.servlet.http.HttpSession）
（3）session机制属于B/S结构的一部分。如果使用php等语言开发WEB项目，同样也是有session这种机制的。session机制实际上是一个规范。然后不同的语言对这种会话机制都有实现。
（4）session对象最主要的作用是：保存会话状态（用户登录成功了，这是一种登录成功的状态，你怎么把登录成功的状态一直保存下来呢？使用session对象可以保留会话状态。）

1.2 为什么需要session对象来保存会话状态呢？

（1）因为HTTP协议是一种无状态协议。
○ 什么是无状态：请求的时候，B和S是连接的，但是请求结束之后，连接就断了。为什么要这么做？HTTP协议为什么要设计成这样？因为这样的无状态协议，可以降低服务器的压力。请求的瞬间是连接的，请求结束之后，连接断开，这样服务器压力小。
○ 只要B和S断开了，那么关闭浏览器这个动作，服务器知道吗？
■ 不知道。服务器是不知道浏览器关闭的。
● 张三打开一个浏览器A，李四打开一个浏览器B，访问服务器之后，在服务器端会生成：
○ 张三专属的session对象
○ 李四专属的session对象
（2）补充：为什么不使用request对象保存会话状态？为什么不使用ServletContext对象保存会话状态？
○ request.setAttribute()存，request.getAttribute()取，ServletContext也有这个方法。request是请求域。ServletContext是应用域。
○ request是一次请求一个对象。
○ ServletContext对象是服务器启动的时候创建，服务器关闭的时候销毁，这个ServletContext对象只有一个。
○ ServletContext对象的域太大。
○ request请求域（HttpServletRequest）、session会话域（HttpSession）、application域（ServletContext）
○ request < session < application

1.3 session对象的实现原理。

（1）HttpSession session = request.getSession();
○ 这行代码很神奇。张三访问的时候获取的session对象就是张三的。李四访问的时候获取的session对象就是李四的。
（2）session的实现原理：
● JSESSIONID=xxxxxx 这个是以Cookie的形式保存在浏览器的内存中的。浏览器只要关闭。这个cookie就没有了。
● session列表是一个Map，map的key是sessionid，map的value是session对象。
①用户第一次请求，服务器生成session对象，同时生成JSESSIONID，将JSESSIONID发送给浏览器。

在这里插入图片描述

②用户第二次请求，自动将浏览器内存中的JSESSIONID发送给服务器，服务器根据JSESSIONID查找session对象。

在这里插入图片描述

③关闭浏览器，内存消失，cookie消失，sessionid消失，会话等同于结束

（3）原理图：

在这里插入图片描述
（4）浏览器的Cookie被禁用了，session还能找到吗？
○ cookie禁用是什么意思？服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。
○ 找不到了。每一次请求都会获取到新的session对象。
○ cookie禁用了，session机制还能实现吗？
■ 可以。需要使用URL重写机制。
■ http://localhost:8080/servlet12/test/session;jsessionid=19D1C99560DCBF84839FA43D58F56E16
■ URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候，后面都要添加一个sessionid，给开发带来了很大的难度，很大的成本。所以大部分的网站都是这样设计的：你要是禁用cookie，你就别用了。

1.4 session的使用

（1）获取HttpSession对象：

HttpSession session = request.getSession();

（2）使用HttpSession对象

①Object getAttribute(String name)
②void setAttribute(String name,Object value)
③void removeAttribute(String name)

1.5 使用细节

（1）当客户端关闭后，服务器不关闭，两次获取session是否为同一个？
①默认情况下，不是
②如果需要相同，则可以创建cookie，键设为JSESSIONID,设置最大存活时间，让cookie持久化保存

Cookie c = new Cookie("JESSIONID",session.getId);
c.setMaxAge(60*60);
response.addCookie(c);

（2）客户端不关闭，服务器关闭，两次获取的session是同一个吗？
不是同一个，但是要确保数据不丢失。tomcat自动完成以下工作
①session的钝化：
在服务器正常关闭之前，将session对象系列化到硬盘上
②session的活化：
在服务器启动后，将session文件转化为内存中的session对象即可
（3）session什么时候被销毁?
①服务器关闭
②session对象调用invalidate()
③session默认失效时间30分钟

1.6 session的特点

（1）session用于存储一次会话的多次请求的数据，存在服务端
（2）session可以存储任意类型，任意大小的数据

2.cookie

2.1 cookie的基本概念

（1）cookie是一种进行网络会话状态跟踪的技术。
①会话则是由一组请求与响应组成，是围绕着一件相关事情所进行的请求与响应。所以这些请求与响应之间一定是需要有数据传递的，即是需要进行会话状态跟踪的。然而，HTTP协议是一种无状态协议，在不同的请求间是无法进行数据传递的。此时就需要一种可以进行请求间数据传递的会话跟踪技术，而cookie就满足。
②cookie是由服务器生成，保存在客户端的一种信息载体。这个载体中存放着用户访问该站点的会话状态信息。只要cookie没有被清空，或者cook没有失效，那么保存在其中的会话状态就有效。cookie可以保存在运行内存中（浏览器只要关闭cookie就消失了），也可以保存在硬盘文件中（永久保存）
③用户在提交第一次请求后，由服务器生成cookie，并将其封装到响应头中，以响应的形式发送给客户端。当客户端收到这个响应后，将cookie保存到客户端。当客户端再次发送同类请求后，在请求中会携带保存在客户端的cookie数据，发送到服务端，由服务器对会话进行跟踪。
④cookie技术并不是javaweb开发专属技术，而是属于web开发的技术，是所有web开发语言均支持的技术。
⑤cookie是由若干键值对构成，这里的键一般称为name，值为value。cookie中的键值均为字符串。
（2）cookie有啥用呢？
○ cookie和session机制其实都是为了保存会话的状态。
○ cookie是将会话的状态保存在浏览器客户端上（cookie数据存储在浏览器客户端上的）
○ session是将会话的状态保存在服务器端上（session对象是存储在服务器上）
（3）为什么要有cookie和session机制呢？因为HTTP协议是无状态无连接协议。
（4）cookie的经典案例
①京东商城，在未登录的情况下，向购物车中放几件商品。然后关闭商城，再次打开浏览器，访问京东商城的时候，购物车中的商品还在，这是怎么做的？我没有登录，为什么购物车中还有商品呢？
■ 将购物车中的商品编号放到cookie当中，cookie保存在硬盘文件当中。这样即使关闭浏览器。硬盘上的cookie还在。下一次再打开京东商城的时候，查看购物车的时候，会自动读取本地硬盘中存储的cookie，拿到商品编号，动态展示购物车中的商品。
● 京东存储购物车中商品的cookie可能是这样的：productIds=xxxxx,yyyy,zzz,kkkk
● 注意：cookie如果清除掉，购物车中的商品就消失了。
②126邮箱中有一个功能：十天内免登录
■ 这个功能也是需要cookie来实现的。
■ 怎么实现的呢？
● 用户输入正确的用户名和密码，并且同时选择十天内免登录。登录成功后。浏览器客户端会保存一个cookie，这个cookie中保存了用户名和密码等信息，这个cookie是保存在硬盘文件当中的，十天有效。在十天内用户再次访问126的时候，浏览器自动提交126的关联的cookie给服务器，服务器接收到cookie之后，获取用户名和密码，验证，通过之后，自动登录成功。
● 怎么让cookie失效？
○ 十天过后自动失效。
○ 或者改密码。
○ 或者在客户端浏览器上清除cookie。
（5）cookie机制和session机制其实都不属于java中的机制，实际上cookie机制和session机制都是HTTP协议的一部分。php开发中也有cookie和session机制，

2.2 cookie的实现原理

（1）基于响应头set-cookie和请求头cookie实现
（2）在session的实现原理中，每一个session对象都会关联一个sessionid，例如：
○ JSESSIONID=41C481F0224664BDB28E95081D23D5B8
○ 以上的这个键值对数据其实就是cookie对象。
○ 对于session关联的cookie来说，这个cookie是被保存在浏览器的“运行内存”当中。
○ 只要浏览器不关闭，用户再次发送请求的时候，会自动将运行内存中的cookie发送给服务器。
○ 例如，这个Cookie: JSESSIONID=41C481F0224664BDB28E95081D23D5B8就会再次发送给服务器。
○ 服务器就是根据41C481F0224664BDB28E95081D23D5B8这个值来找到对应的session对象的。

2.3 cookie的使用

（1）HTTP协议中规定：任何一个cookie都是由name和value组成的。name和value都是字符串类型的。当浏览器发送请求的时候，会自动携带该path下的cookie数据给服务器
（2）在java的servlet中，提供了一个Cookie类来专门表示cookie数据：jakarta.servlet.http.Cookie;
（3）创建cookie对象，绑定数据

new Cookie(String name,String value)

（4）java程序怎么把cookie数据发送给浏览器呢？

response.addCookie(Cookie cookie)

（5）获取cookie，拿到数据

Cookie[] request.getCookies()

2.4.cookie的细节

2.4.1 一次可不可以发送多个cookie？

（1）可以
（2）创建多个cookie对象，使用response调用多次addCookie方法发送cookie即可

2.4.2 cookie在浏览器中保存多次时间？

（1）默认情况下，当浏览器关闭后，cookie数据被销毁
（2）持久化存储：setMaxAge(int seconds)
①正数：将cookie数据写到硬盘的文件中，持久化存储；并指定cookie存活时间，时间到后，cookie文件自动失效
②负数：默认值，保存在运行内存中。和不设置一样
③零：删除cookie信息

2.4.3 cookie能不能存中文？

（1）在tomcat8之前，cookie中不能存储中文数据
需要将中文数据转码----一般采用URL编码
（2）在tomcat8之后，cookie支持中文数据。特殊字符还是不支持，建议使用URL编码存储，URL解码解析

2.4.4 cookie共享问题

（1）假设在一个tomcat服务器中，部署了多个web项目，那么在这些web项目中cookie能不能共享？
①默认情况下，cookie不能共享
②setPath(String path):设置cookie的获取范围。如果要共享，可以将path设置为“/”
（2）不同的tomcat服务器之间cookie共享问题？
setDomain(String path):如果设置一级域名相同，那么多个服务器之间cookie可以共享
setDomain(“.baidu,com”),那么tieba.baidu.com和news.baidu.com中cookie可以共享

2.4.5 关于cookie的path，cookie关联的路径

○ 假设现在发送的请求路径是“http://localhost:8080/servlet13/cookie/generate”生成的cookie，如果cookie没有设置path，默认的path是什么？
■ 默认的path是：http://localhost:8080/servlet13/cookie 以及它的子路径。
■ 也就是说，以后只要浏览器的请求路径是http://localhost:8080/servlet13/cookie 这个路径以及这个路径下的子路径，cookie都会被发送到服务器。
○ 手动设置cookie的path
■ cookie.setPath(“/servlet13”); 表示只要是这个servlet13项目的请求路径，都会提交这个cookie给服务器。

2.5.cookie的特点和作用

2.５.１cookie特点

（1）cookie存储数据在客户端浏览器
（2）浏览器对于单个cookie的大小有限值(4kb)以及对同一个域名下的总cookie数量也有限制(20个)

2.5.2 cookie作用

（1）cookie一般用于存储少量的不太敏感的数据
（2）在不登录的情况下，完成服务器对客户端的身份识别

3.cookie和session的区别

（1）cookie存储数据在客户端，session在服务器端
（2）cookie有数据大小限制，session没有
（3）cookie相对于不安全，session安全
（4）cookie 可设置为长时间保持,比如我们经常使用的默认登录功能,session一般失效时间较短，客户端关闭或者session 超时都会失效。

4.cookie和session的特征

（1）session和cookie都是由服务器生成的，都是用来存储特定的值(键值对对应)
（2）session是存储在服务器的，而cookie是返回给客户端的。一般来说，SessionID会以类似于cookie的方式返回给客户端。SeesionID是服务器用来识别、操作存储session值的对象的。一般来说，在服务器端，session的存储方式有文件方式、数据库方式，SeesionID就是用来识别这个文件、识别数据库的某一条记录的。SeesionID并不是session值。
（3）客户端(浏览器)在发送请求的时候，会自动将存活、可用的cookie封装在请求头中和请求一起发送。
（4）cookie和session都是有生命周期的
①cookie的生命周期一般来说受到两个因素的影响。第一个：cookie自身的存活时间，是由服务器生成cookie时去设定的，第二个是：客户端是否保留了cookie，客户端是否保留cookie，只对客户端自身有影响，对其他封包工具(也就是接口测试工具)是没有影响的。
②session的生命周期，一般来说也是受到两个因素的影响：第一个是：服务器对于session对象的保存的最大时间的设置。第二个是：客户端进程是否关闭。客户端进程关闭，只对客户端自身有影响。
（5）cookie和session都是有其作用域的。