浏览器与服务器之间的会话管理(Cookie/Session技术)

浏览器与服务器之间的会话管理(Cookie/Session技术)

 

 

1、什么是会话:

用户打开浏览器,点击多个超链接,访问服务器的多个web资源,然后关闭浏览器,整个过程就称为一个会话;

 

2、会话过程需要解决的问题:

    每个用户在使用浏览器与服务器进行会话的过程中,都可能会产生一些数据,这些输入如何来进行保存?比如用户在购物网站浏览的商品记录,用户添加购物车的记录等等这些信息如何进行存储?在程序中会话跟踪是一件非常重要的事情,一个用户的所有请求操作都应该属于同一个会话,而另一个人的所有请求操作应该属于另一个人,二者不能混淆!当想到需要在保存数据时,我们首先肯定会想到使用域对象,这些数据是否可以使用Request或者ServletContext对象来保存呢?

首先我们举例说明:登录的场景

2.1 、Context对象:

小张: 输入“张三” (保存数据: context.setAttribute("name","张三")) -> 用户主页(显示“张三”)

小李: 输入“李四”(保存数据:context.setAttribute("name","李四")) ->   用户主页(显示“李四”)

context是所有用户公有的资源,因此当小李登录后,用户主页将全部显示为“李四”,新的数据将会覆盖原有的数据,因此不能够使用context对象;

2.2 、Request对象:  

该对象只在同一个页面有效,当需要进行页面跳转的时候,显然必须使用转发技术来实现,因此Request对象也不能够有效解决该问题。

 

 

3、会话技术

为了解决上述的问题,这里引入了会话技术,其中会话技术主要分为两个部分,cookie 技术和 session 技术,前者将数据保存在客户端,后者将数据保存在服务器。

  • Cookie技术:Cookie是客户端技术,服务器把每个用户的数据以 cookie 的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去。这样,web资源处理的就是用户各自的数据了。
  • Session技术:Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象,由于session为用户浏览器独享,所以用户在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问服务器中的其它web资源时,其它web资源再从用户各自的session中取出数据为用户服务。

(一)  Cookie技术

1.1 Cookie技术核心

Cookie类:用于存储会话数据

1)构造Cookie对象

  • new  Cookie(String name,  String value)

2)设置cookie

  • void setPath(String    uri) : 
  • void setMaxAge(int   expiry) :
  • void setValue(String  newValue) :

3)发送cookie到浏览器端保存

  • void response.addCookie(Cookie cookie) ;

4)服务器接收cookie, 返回所有cookie的数据信息

  • Cookie[]   request.getCookies(); 

1.2 Cookie原理

1)服务器创建cookie对象,把会话数据存储到cookie对象中。

  • new Cookie("name",   "value");

2)服务器发送cookie信息到浏览器

  • response.addCookie(cookie);

举例: set-cookie: name=Infaraway ( 隐藏发送了一个set-cookie名称的响应头 )

3)浏览器得到服务器发送的cookie,然后保存在浏览器端。

4)浏览器在下次访问服务器时,会带着cookie信息

举例: cookie: name=Infaraway (隐藏带着一个叫cookie名称的请求头)

5)服务器接收到浏览器带来的cookie信息

  • request.getCookies();
import javax.servlet.ServletException;
 import javax.servlet.http.Cookie;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 import java.io.IOException;
 
 public class CreateCookie {
     public void doGet(HttpServletRequest request, HttpServletResponse response)
             throws ServletException, IOException {
         //1.创建Cookie对象
         Cookie cookie = new Cookie("name", "value");
         Cookie cookie2 = new Cookie("yourCookie","id");
 
         /**
          * 设置cookie的有效路径。默认情况:有效路径在当前web应用下。 /cookie
          */
         cookie1.setPath("/cookie");

         /**
          * 设置cookie的有效时间
          * 正整数:表示cookie数据保存浏览器的缓存目录(硬盘中),数值表示保存的时间。
          * 负整数:表示cookie数据保存浏览器的内存中。浏览器关闭cookie就丢失了!
          * 零:表示删除同名的cookie数据
          */
         cookie1.setMaxAge(20); //20秒,从最后不调用cookie开始计算
         cookie1.setMaxAge(-1); //cookie保存在浏览器内存(会话cookie)
         cookie1.setMaxAge(0);
 
         //  把cookie数据发送到浏览器(通过响应头发送: set-cookie名称)
         response.setHeader("set-cookie", cookie.getName());

         //推荐使用这种方法,避免手动发送cookie信息
          response.addCookie(cookie1);
 
         //  接收浏览器发送的cookie信息
         String name = request.getHeader("cookie");
         System.out.println(name);
         
         // 获取所有的Cookie
         Cookie[] cookies = request.getCookies();
         //注意:判断null,否则空指针
         if(cookies!=null){
             //遍历
             for(Cookie c:cookies){
                 String name = c.getName();
                 String value = c.getValue();
                 System.out.println(name+"="+value);
             }
         }else{
             System.out.println("没有接收cookie数据");
         }
     }
 }

 

1.3 Cookie的细节

1)void setPath(String  uri) 

2)void setMaxAge(int  expiry) : 设置cookie的有效时间。

  •        正整数:表示cookie数据保存浏览器的缓存目录(硬盘中),数值表示保存的时间。
  •        负整数:表示cookie数据保存浏览器的内存中。浏览器关闭cookie就丢失了!!
  •        零:表示删除同名的cookie数据

3)Cookie 数据类型只能保存非中文字符串类型的。可以保存多个cookie,但是浏览器一般只允许存放 300 个Cookie每个站点最多存放20个Cookie每个Cookie的大小限制为4KB。

 

(二) Session技术

2.1  引入

Cookie的局限:

  • 1)Cookie只能存字符串类型。不能保存对象
  • 2)只能存非中文。
  • 3)1个Cookie的容量不超过4KB。

如果要保存非字符串,超过4kb内容,只能使用session技术!

Session特点:会话数据保存在服务器端。(内存中)

2.2 Session技术核心

HttpSession类:用于保存会话数据

1)创建或得到session对象

  • HttpSession   getSession()
  • HttpSession   getSession(boolean create)

2)设置session对象

  • void setMaxInactiveInterval(int interval) :
  • void invalidate() :
  • java.lang.String getId() :

3)保存会话数据到session对象

  • void     setAttribute(String  name,   Object  value) : 保存数据
  • Object   getAttribute(String  name) : 获取数据
  • void     removeAttribute(String  name) : 清除数据

2.3 Session原理

问题: 服务器能够识别不同的浏览者!

关键: 在哪个session域对象保存数据,就必须从哪个域对象取出!

代码解读:HttpSession session = request.getSession();

1)第一次访问创建session对象,给session对象分配一个唯一的ID,叫JSESSIONID

  new HttpSession();

2)把  JSESSIONID  作为Cookie的值发送给浏览器保存

  Cookie cookie = new Cookie("JSESSIONID", sessionID);

  response.addCookie(cookie);

3)第二次访问的时候,浏览器带着JSESSIONID的cookie访问服务器

4)服务器得到JSESSIONID,在服务器的内存中搜索是否存放对应编号的session对象。
if(找到){
  return map.get(sessionID);
}

5)如果找到对应编号的session对象,直接返回该对象

6)如果找不到对应编号的session对象,创建新的session对象,继续走1的流程

结论:通过 JSESSION  的  cookie  值在服务器找session对象!

import java.io.IOException;
 import javax.servlet.ServletException;
 import javax.servlet.http.Cookie;
 import javax.servlet.http.HttpServlet;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 import javax.servlet.http.HttpSession;

 public class CreateSession extends HttpServlet {
 
     public void doGet(HttpServletRequest request, HttpServletResponse response)
             throws ServletException, IOException {
         //1.创建session对象
         HttpSession session = request.getSession();
         //得到session编号
         System.out.println("id="  + session.getId());
         //修改session的有效时间
         session.setMaxInactiveInterval(20);
         //手动发送一个硬盘保存的cookie给浏览器
         Cookie c = new Cookie("JSESSIONID",  session.getId());
         c.setMaxAge(60*60);
         response.addCookie(c);
 
         //2.保存会话数据
         session.setAttribute("name", "Infaraway");
     }
 }

 

      删除Cookie

import javax.servlet.ServletException;
 import javax.servlet.http.Cookie;
 import javax.servlet.http.HttpServlet;
 import javax.servlet.http.HttpServletRequest;
 import javax.servlet.http.HttpServletResponse;
 import java.io.IOException;
 
 public class DeleteCookie extends HttpServlet {
 
     public void doGet(HttpServletRequest request, HttpServletResponse response)
             throws ServletException, IOException {
         /**
          * 需求: 删除cookie
          */
         Cookie cookie = new Cookie("name","xxxx");
         cookie.setMaxAge(0);//删除同名的cookie
         response.addCookie(cookie);
         System.out.println("删除成功");
     }
 }

 

2.4  Sesson细节

1)java.lang.String getId() : 得到session编号

2)两个getSession方法:

  • getSession(true) / getSession() : 创建或得到session对象。没有匹配的session编号,自动创 建新的session对象。
  • getSession(false): 得到session对象。没有匹配的session编号,返回null

3)void setMaxInactiveInterval(int interval) : 设置session的有效时间

session对象销毁时间:

  • 1 默认情况  3 0分 服务器自动回收
  • 2 修改session回收时间
  • 3 全局修改session有效时间
1 <!-- 修改session全局有效时间:分钟 -->
2 <session-config>
3   <session-timeout>1</session-timeout>
4 </session-config>
  • 4.手动销毁session对象

    void   invalidate() : 销毁session对象

4)如何避免浏览器的JSESSIONID的cookie随着浏览器关闭而丢失的问题?

  浏览器关闭而丢失cookie的原因是cookie的有效时间设置中参数为负整数导致,因此需求使用setMaxAge()函数将时间修正为正整数即可。

1 /**
2 * 手动发送一个硬盘保存的cookie给浏览器
3 */
4 Cookie c = new Cookie("JSESSIONID",session.getId());
5 c.setMaxAge(60*60);
6 response.addCookie(c);

总结:

1)会话管理: 浏览器和服务器会话过程中的产生的会话数据的管理。

2)Cookie技术:

  • new Cookie("name","value")
  • response.addCookie(coookie)
  • request.getCookies()

3)Session技术

  • request.getSession();
  • setAttrbute("name","会话数据");
  • getAttribute("会话数据")