本文主要是介绍JavaWeb 会话跟踪技术Cookie和Session,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!
超详细的Java知识点路线图
会话跟踪
会话就是客户端和服务器之间从连接到断开的过程。
Http协议是无状态的,也就是说断开连接后服务器不会记录用户的状态,有时候我们需要知道之前会话的用户状态,这就需要会话跟踪技术。
会话跟踪的几种实现:
- Session
在服务器端保存数据。 - Cookie
在浏览器端保存数据。 - URL重写
在URL中强行加入参数以实现数据传递,主要用于Cookie和Session失效的情况。
/getInfo;jsessionid=A34322BFEA000021112
- 隐藏表单域
在表单中附加隐藏信息
<input type="hidden" name="xx" value="xx">
Cookie
Cookie(小饼干),是一种文本文件,保存在浏览器的某个目录中,保存用户信息。
可以保存浏览商品信息、账号、密码等。
特点:
- 通过请求头和响应头实现浏览器和服务器的传输
- 一般情况下Cookie文件不超过4k
- 网站最多有300个Cookie
- 服务器最多在客户端浏览器上保存20个Cookie
优缺点:
- 优点:文件小,使用方便
- 缺点:安全性差,长度有限,浏览器可以禁用
创建Cookie:
Cookie cookied = new Cookie("名称","值");
Cookie 常用方法:
- String getName() 返回名称
- String getValue() 返回值
- setPath(“路径”) 设置保存路径
一般情况下setPath("/")保存到根路径 - setMaxAge(int) 设置保存时间(秒)
正数 文件保存秒数,负数 保存到内存,0 失效
添加Cookie
HttpServletResponse对象.addCookie(Cookie对象)
在响应头中会出现Set-Cookie: name=value
读取Cookie:
先遍历Cookie数组,找到getName和查找名称相同的Cookie:
Cookie[] HttpServletRequest对象.getCookies();
注意:Cookie中不能直接保存中文
解决方法:
保存时,使用URLEncoder.encode对Cookie的名称和值进行编码
读取时,使用URLDecoder.decode对Cookie的名称和值进行解码
案例:用Cookie保存用户名
/*** Cookie工具类* @author xray**/
public class CookieUtils {public static final int MAX_AGE = 24 * 60 * 60;/*** 保存Cookie* @param resp* @param name* @param value*/public static void save(HttpServletResponse resp,String name,String value){//创建Cookie对象try {Cookie cookie = new Cookie(URLEncoder.encode(name, "UTF-8"),URLEncoder.encode(value, "UTF-8"));//设置路径cookie.setPath("/");//设置保存时间cookie.setMaxAge(MAX_AGE);//添加Cookieresp.addCookie(cookie);} catch (UnsupportedEncodingException e) {e.printStackTrace();throw new RuntimeException(e);}}/*** 读取Cookie* @param req* @param name* @return*/public static String read(HttpServletRequest req,String name){//读取Cookie数组Cookie[] cookies = req.getCookies();//查找username的Cookietry{for(Cookie cookie : cookies){if(name.equals(URLDecoder.decode(cookie.getName(), "UTF-8"))){return URLDecoder.decode(cookie.getValue(), "UTF-8");}}}catch(Exception ex){ex.printStackTrace();throw new RuntimeException(ex);}return null;}
}
通过过滤器读取Cookie
/*** 在登陆页面前读取Cookie* @author xray**/
public class ReadCookieFilter implements Filter{@Overridepublic void destroy() {}@Overridepublic void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)throws IOException, ServletException {//从Cookie读取账号,保存到request中req.setAttribute("username", CookieUtils.read((HttpServletRequest)req, "username"));chain.doFilter(req, resp);}@Overridepublic void init(FilterConfig arg0) throws ServletException {}
}
Session
Session就是服务器上的一块内存空间,每个用户访问网站时,都会开辟一块内存,用于保存该用户相关的数据。
Session的实现原理
问题:服务器如何知道Session是属于哪个用户的?
- 每个用户通过浏览器访问服务器时,服务器会创建一个Session保存用户的信息
- 创建Session同时会创建JSESSIONID字符串,用于唯一标识Session。
- 服务器响应浏览器时,将JSSESSIONID通过Cookie保存到用户的浏览器中
- 用户后面再访问服务器时,用户的请求会带上Cookie中的JSSESIONID
- 服务器通过JSESSIONID查找Session对象,读取用户信息。
获取HttpSession对象:
HttpSession session = request.getSession();
主要方法
- Object getAttribute(String name) 获得数据
- void setAttribute(String name, Object value) 保存数据
- void removeAttribute(String name) 删除数据
- invalidate() 销毁Session
Session的关闭
- 关闭服务器
- 等待一段时间(30分钟)
Session的时效默认是30分钟,因为保存JSessionID的Cookie时效是30分钟
可以在web.xml中配置
<session-config><session-timeout>30</session-timeout>
</session-config>
- 调用invalidate方法
Session的持久化
如何保证服务器关闭后Session的数据不会丢失?
- session的钝化:服务器关闭前,将session对象序列化到磁盘上。
- session的活化:服务器启动后,将磁盘文件反序列化为session对象。
对比Cookie和Session
- 位置:Session在服务器端,Cookie在浏览器端
- 安全性: Cookie在浏览器端的文本文件中,容易被获取,安全性不如Session
- 数据量:Cookie只能保存少量数据,Session没有限制
这篇关于JavaWeb 会话跟踪技术Cookie和Session的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!
