10-Cookie、Session

unit10-Cookie、Session

什么是会话

什么是会话:当浏览器发请求访问服务器开始,一直到访问服务器结束,浏览器关闭为止,这期间浏览器和服务器之间产生的所有请求和响应加在一起,就称之为浏览器和服务器之间的一次会话。

在一次会话中往往会产生一些数据,而这些数据往往是需要我们保存起来的,如何保存会话中产生的这些数据呢?

  • 比如在购物过程中,将商品加入购物车,其实就是将商品信息保存到数据库中。(不讨论)
  • 如果在没有登录时,将商品加入购物车,其实就是将商品信息保存到了cookie或session中。

可以使用cookie或者session保存会话中产生的数据。

如何将会话中产生的数据保存到cookie或者是session中?

cookie原理及应用

cookie的工作原理

35f0bd1bfc616e3bfcc9e96c189444ee

35f0bd1bfc616e3bfcc9e96c189444ee

  1. Cookie是将会话中产生的数据保存在客户端,是客户端技术。
  2. Cookie是基于两个头进行工作的:分别是Set-Cookie响应头和Cookie请求头
  3. 通过Set-Cookie响应头将cookie从服务器端发送给浏览器,让浏览器保存到内部;而浏览器一旦保存了cookie,以后浏览器每次访问服务器时,都会通过cookie请求头,将cookie信息再带回服务器中。在需要时,在服务器端可以获取请求中的cookie中的数据,从而实现某些功能。

cookie的API及应用

1、创建Cookie对象

1
2
Cookie c = new Cookie(String name, String value);
// 创建cookie的同时需要指定cookie的名字和cookie要保存的值

2、将Cookie添加到response响应中

1
2
response.addCookie( Cookie c );
// 将cookie添加到响应中,由服务器负责将cookie信息发送给浏览器,再由浏览器保存到内部(可以多次调用该方法,添加一个以上的cookie)

3、获取请求中的所有cookie对象组成的数组

1
2
Cookie[] cs = request.getCookies();
// 获取请求中携带的所有cookie组成的cookie对象数组,如果请求中没有携带任何cookie,调用该方法会返回null。

4、删除浏览器中的Cookie

1
2
// cookie的API中没有提供直接删除cookie的方法,可以通过别的方式间接删除cookie
// 删除名称为cart的cookie:可以向浏览器再发送一个同名的cookie(即名称也叫做cart),并设置cookie的最大生存时间为零,由于浏览器是根据cookie的名字来区分cookie,如果前后两次向浏览器发送同名的cookie,后发送的cookie会覆盖之前发送的cookie。而后发送的cookie设置了生存时间为零,因此浏览器收到后也会立即删除!

代码示例:

1
2
3
4
5
6
7
//创建一个名称为cart的cookie
Cookie c = new Cookie("cart", "");
//设置cookie的最大生存时间为零
c.setMaxAge( 0 );
//将cookie添加到响应中,发送给浏览器
response.addCookie( c );
out.write( "成功删除了名称为cart的cookie..." );

5、Cookie的常用方法

1
2
3
4
cookie.getName(); // 获取cookie的名字
cookie.getValue(); // 获取cookie中保存的值
cookie.setValue(); // 设置/修改cookie中保存的值(没有setName方法,因为cookie的名字无法修改)
cookie.setMaxAge(); //设置cookie的最大生存时间

6、setMaxAge方法:设置cookie的最大生存时间

1
2
如果不设置该方法,cookie默认是会话级别的cookie,即生存时间是一次会话。当浏览器关闭,会话结束时,cookie也会被销毁(cookie默认存在浏览器的内存中,当浏览器关闭,内存释放,cookie也会随着内存的释放而销毁。)
如果设置了该方法,cookie将不会保存到浏览器的内存中,而是以文件形式保存到浏览器的临时文件夹中(也就是硬盘上),这样再关闭浏览器,内存释放,保存到硬盘上的cookie文件不会销毁,再次打开浏览器,还可以获取硬盘上的cookie信息。

代码示例:

1
2
3
4
5
6
//创建一个Cookie对象,将商品信息保存到cookie中
Cookie cookie = new Cookie( "cart", prod  );
//设置cookie的最大生存时间, 单位:秒
cookie.setMaxAge( 60*60*24 );
//将cookie对象添加到response响应中
response.addCookie( cookie );

案例:使用cookie模拟购物车

1.index.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
...
<body>
	<h3>点击下面的商品链接, 可以将商品加入购物车</h3>
	<!-- 
	http://localhost/day13-cookie/CartServlet
	http://localhost/day13-cookie/index.html
	 -->
	<p><a href="CartServlet?prod=iphone11">iphone11</a></p>
	<p><a href="CartServlet?prod=vivonex3">vivonex3</a></p>
	<p><a href="CartServlet?prod=xiaomishouji">xiaomishouji</a></p>
	<p><a href="CartServlet?prod=huaweip30">huaweip30</a></p>
	<p><a href="CartServlet?prod=海尔洗衣机">海尔洗衣机</a></p>
	
	<h3>点击下面的支付链接, 可以对购物车中的商品进行结算</h3>
	<a href="PayServlet">支付</a>
</body>
...

2.CartServlet

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
protected void doGet(HttpServletRequest request, HttpServletResponse response)
		throws ServletException, IOException {
	response.setContentType("text/html;charset=utf-8");
	PrintWriter out = response.getWriter();
	//-------------------------------------------------------
	//获取请求中携带的商品信息(将要加入购物车的商品信息)
	String prod = request.getParameter( "prod" );
	//创建一个Cookie对象,将商品信息保存到cookie中
	Cookie cookie = new Cookie( "cart", prod  );
	//设置cookie的最大生存时间, 单位:秒
	cookie.setMaxAge( 60*60*24 );
	//将cookie对象添加到response响应中
	response.addCookie( cookie );
	//做出回应
	out.write( "成功将"+prod+"加入了购物车....." );
}

3.PayServlet

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
protected void doGet(HttpServletRequest request, HttpServletResponse response)
		throws ServletException, IOException {
	response.setContentType("text/html;charset=utf-8");
	PrintWriter out = response.getWriter();
	//------------------------------------------------------
	//获取请求中的所有cookie信息(null/cookie数组)
	Cookie[] cs = request.getCookies();
	//遍历所有cookie数组, 找出名称为cart的cookie
	String prod = null;
	if( cs != null ) {
		for (Cookie c : cs) {
			if( "cart".equals( c.getName() ) ) {
				//获取cookie中保存的商品信息
				prod = c.getValue();
			}
		}
	}
	//为商品进行结算
	if( prod == null ) {
		out.write( "您还没有将商品加入购物车...." );
	}else {
		out.write( "成功为"+prod+"支付了1000.00元...." );
	}
}

session原理及应用

session的工作原理

9f99b30f96234a6bba48e37d6852a080

9f99b30f96234a6bba48e37d6852a080

  1. Session是将会话中产生的数据保存在服务器端,是服务器端技术
  2. Session是一个域对象,session中也保存了一个map集合,往session中存数据,其实就是将数据保存到session的map集合中。
  3. 通过session.setAttribute()方法可以将数据保存到session中,通过session.getAttribute()方法可以将数据从session中取出来。

session是一个域对象

获取session对象:

1
2
request.getSession() 
// 获取一个session对象;如果在服务器内部有当前浏览器对应的session,则直接返回该session对象;如果没有对应session,则会创建一个新的session对象再返回;

Session是一个域对象,因此session中也提供了存取数据的方法。

1
2
3
4
session.setAttribute(String attrName, Object attrValue); 
// 往session域中添加一个域属性,属性名只能是字符串类型,属性值可以是任意类型。
session.getAttribute(String attrName);
// 根据属性名获取域中的属性值,返回值是一个Object类型

Session域对象的三大特征:

(1)生命周期:

**创建session:**第一次调用request.getSession()方法时,会创建一个session对象。(当浏览器在服务器端没有对应的session时,调用request.getSession()方法服务器会创建一个session对象。)

销毁session:

  1. 超时销毁:默认情况下,当超过30分钟没有访问session,session就会超时销毁。(30分钟是默认时间,可以修改,但不推荐修改)

  2. 自杀:调用session的invalidate方法时,会立即销毁session。

  3. 意外身亡:当服务器非正常关闭时(硬件损坏,断电,内存溢出等导致服务器非正常关闭),session会随着服务器的关闭而销毁;

    当服务器正常关闭,在关闭之前,服务器会将内部的session对象序列化保存到服务器的work目录下,变为一个文件。这个过程叫做session的钝化(序列化);再次将服务器启动起来,钝化着的session会再次回到服务器,变为服务器中的对象,这个过程叫做session的活化(反序列化)。

**(2)作用范围:**在一次会话范围内(获取到的都是同一个session对象)

**(3)主要功能:**在整个会话范围内实现数据的共享

案例:使用session模拟购物车

1、index.html

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
<body>
	<h3>点击下面的商品链接, 可以将商品加入购物车</h3>
	<!-- 
	http://localhost/day13-cookie/CartServlet
	http://localhost/day13-cookie/index.html
	 -->
	<p><a href="CartServlet?prod=iphone11">iphone11</a></p>
	<p><a href="CartServlet?prod=vivonex3">vivonex3</a></p>
	<p><a href="CartServlet?prod=xiaomishouji">xiaomishouji</a></p>
	<p><a href="CartServlet?prod=huaweip30">huaweip30</a></p>
	<p><a href="CartServlet?prod=海尔洗衣机">海尔洗衣机</a></p>
	
	<h3>点击下面的支付链接, 可以对购物车中的商品进行结算</h3>
	<a href="PayServlet">支付</a>
</body>

2、CartServlet

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
protected void doGet(HttpServletRequest request, HttpServletResponse response)
		throws ServletException, IOException {
	response.setContentType("text/html;charset=utf-8");
	PrintWriter out = response.getWriter();
	//------------------------------------------------------
	//获取将要添加到购物车的商品信息
	String prod = request.getParameter( "prod" );
	//获取一个session对象,将商品信息保存到session中
	HttpSession session = request.getSession();
	//设置session的超时时间为30秒
	//session.setMaxInactiveInterval( 30 );
	session.setAttribute( "cart" , prod );
	//做出响应
	out.write( "成功将 [ "+prod+" ] 加入了购物车~~~" );
}

3、PayServlet

1
2
3
4
5
6
7
8
9
10
11
protected void doGet(HttpServletRequest request, HttpServletResponse response)
		throws ServletException, IOException {
	response.setContentType("text/html;charset=utf-8");
	PrintWriter out = response.getWriter();
	//获取一个session对象(之前的session)
	HttpSession session = request.getSession();
	//从session中获取到要结算的商品信息
	String prod = (String)session.getAttribute( "cart" );
	//对商品进行结算,做出回应
	out.write( "成功为 [ "+prod+" ] 支付了2000.00元~~~~" );
}

总结:两者的区别

Cookie和session都属于会话技术,都可以保存会话中产生的数据,但由于cookie和session的工作原理和特点不同,因此两者的应用场景也不一样。

Cookie的特点:

  1. cookie是将会话中产生的数据保存在浏览器客户端, 是客户端技术(JS可以访问cookie)

  2. cookie是将数据保存在客户端浏览器,容易随着用户的操作导致cookie丢失或者被窃取,因此cookie中保存的数据不太稳定,也不太安全。

  3. 但cookie将数据保存在客户端,对服务器端没有太多影响,可以将数据保存很长时间。

  4. 总结:因此cookie中适合存储需要长时间保存、但对安全性要求不高的数据。

  5. 浏览器对cookie的大小和个数都有限制,一般推荐每一个站点给浏览器发送的cookie数量不超过20个,每一个cookie的大小不超过1kb。

  6. Cookie的应用:实现购物车、记住用户名、30天内自动登录等。

Session的特点

  1. session是将会话中产生的数据保存在服务器端,是服务器端技术
  2. session将数据存在服务器端的session对象中,相对更加的安全,而且更加稳定。不容易随着用户的操作而导致session中的数据丢失或者是被窃取。
  3. 但session是服务器端的对象,在并发量较高时每一个浏览器客户端在服务器端都要对应一个session对象,占用服务器的内存空间,影响效率。
  4. 总结:因此session中适合存储对安全性要求较高,但不需要长时间保存的数据。
  5. Session的应用:保存登录状态、保存验证码

扩展内容

cookie中保存中文数据的问题

以下问题是针对Tomcat8.0及8.0以下的版本,在Tomcat8.5及8.5以后的版本中已经解决了该问题!

HTTP协议中规定了请求信息和响应信息中不能包含中文数据!

因此通过浏览器向服务器发送中文数据时,浏览器会将中文数据进行URL编码,编码为下面这种格式:

image-20200225174146534

image-20200225174146534

http://localhost/day13-cookie/index.html?user=%E5%BC%A0%E9%A3%9E%E9%A3%9E

将中文数据转成下面这种格式,叫做URL编码:

张飞飞 ---> URL编码 ---> %E5%BC%A0%E9%A3%9E%E9%A3%9E

将下面这种格式再次转回中文数据,叫做URL解码:

%E5%BC%A0%E9%A3%9E%E9%A3%9E ---> URL解码---> 张飞飞

问题:当cookie中保存中文数据,将cookie添加到响应中时,会报一个500异常,如下:

image-20200226095315873

image-20200226095315873

解决方法是:

将存入cookie中的先进行URL编码,再存入Cookie中,例如:

image-20200225174242538

image-20200225174242538

从cookie取出来的数据是进行URL编码后的数据,在使用之前需要进行URL解码,例如:

image-20200225174252978

image-20200225174252978

获取不到之前的session的问题

将商品保存到session中后,关闭浏览器再打开浏览器,访问服务器,此时获取不到之前的session。因为session是基于Cookie工作的。

在服务器创建一个session后,会为session分配一个独一无二的编号,称之为session的id,在此次响应时,服务器会将session的id以一个名称为JSESSIONID的cookie发送给浏览器保存到浏览器内部。

由于保存sessionid的cookie默认是会话级别的cookie,在浏览器关闭后,cookie会跟着销毁,sessionid也丢失了。因此下次访问服务器,没有session的id就获取不到之前的session。也获取不到session中的商品信息

解决方法:我们可以创建一个名称为JSESSIONID的cookie,其中保存session的ID,并设置cookie的最大存活时间,让cookie保存到硬盘上(即使浏览器关闭,cookie也不会销毁),这样下次访问服务器时,还可以将sessionid带给服务器,服务器可以通过sessionid获取到之前的session。 从session中获取到商品信息

9e195f495be5cc6e805c1185fcc753ad

9e195f495be5cc6e805c1185fcc753ad

javaweb cookie session