Servlet回话跟踪技术，Session和Cookie

会话跟踪技术

在服务器端有一些资源文件，需要判断请求的状态，看该请求是否有权利访问资源文件，如果有就让该请求访问，否则就不让该请求访问。要实现该功能需要使用到会话跟踪技术。
实现会话跟踪技术有两种方式：
1.Cookie
2.Session（重点）

Cookie:

• 1.cookie是由服务器端创建出来的。
• 2.Cookie是保存在浏览器端的。
• 3.浏览器端一旦有cookie信息了，那么浏览器请求项目的所有资源时，都会自动携带该项目相关的cookie信息。

学习cookie需要把握住：

1.服务器端如何创建cookie
Cookie cookie=new Cookie(flag,value);//两个参数分别表示cookie的标记，和cookie的值。

2.服务器端如果把cookie发送给浏览器
response.addCookie(cookie);

3.浏览器如何保存cookie
不用程序员操心了。因为浏览器已经有这个功能了。

4.浏览器再次发送请求时如何携带cookie。
这件事也不用操心了。

5.服务器的隐私资源如何检查cookie。

Cookie[] cookies = request.getCookies();//获取到所有的跟本项目相关的所有的cookie。If(cookies!=null){For(Cookie c:cookies){//遍历每一个cookie看是否有需要的cookie信息String name=c.getName();//得到cookie的标记String value=c.getValue();//得到cookie的值}
}

总结cookie的特点：

• 1.cookie是保存在浏览器的字符串。一个cookie是有标记和值构成。标记和值都是字符串。不能是中文的。
• 2.浏览器会请求项目资源时，会自动携带跟项目相关的cookie。
• 3.Cookie会在浏览器关闭的时候自动清除掉。如果想控制cookie的有效期，我们创建出cookie对象后可以调用setMaxAge(60).来设置cookie的生命时长。单位秒。如果想观察cookie可以在浏览器设置里面看cookie相关内容。
• 4.Cookie的数据不安全，重要的数据不要存在cookie里面。

Cookie的缺点：

1. 不安全
2. 可以被禁用
3. Cookie数据量有限制 4K
4. Cookie 不能直接保存中文 可以使用URLEncoder 和 URLDecoder进行编解码
   Cookie一般保存不太重要的数据。

Session（会话）

Session是服务器为每一个浏览器建立的私人存储空间。

1.如何获取session对象
HttpSession session=request.getSession();//获取session对象
当浏览器第一次访问服务器，调用了该方法后，该方法的含义是创建出session对象。
当浏览器不是第一次访问服务器，调用该代码后，该代码的含义是获取到该浏览器对应的session。
session.getId();获取到session的唯一标记。

2.session作用域
session.setAttribute(key,value);//到session作用域放数据
session.getAttribute(key);//从session作用域获取数据
session.removeAttibute(key);//从session作用域里面移除数据。

3.Session生命周期
A.默认情况下session会存活30分钟。可以通过web.xml配置下面的标签来决定session的存活时长。

B.当浏览器请求服务器后，关闭了浏览器。这时候再打开浏览器后，访问服务器，得到的session跟关闭前得到的session不是同一个了。服务器端到30分钟后就把之前的session销毁掉。
C.session.invalidate();该方法可以将session里面的数据全部清空。

Session的特点

• 1.session跟浏览器一一对应。
• 2.Session是保存在服务器端。
• 3.Session存储的是任意数据类型。
• 4.Session作用域里面是不能随意放数据。

Cookie和session的区别

相同点：都是会话跟踪技术，都跟浏览器相关。
不同点：

• 1.保存的位置不一样。Cookie在浏览器端，session服务器端。重要的数据保存到session里面。
• 2.保存的数据类型不一样。Cookie是字符串类型。Session是任意类型。

Session的两个典型应用案例：

1. 强制登录

2. 验证码的实现
本质：一个变化的图片
作用：避免用户的恶意操作。

Session的底层实现原理：

当浏览器请求被servlet接受到后，这个servlet是如何从众多的session里面选出该浏览器对应的session呢？

1.当servlet中第一种执行了request.getSession()，servlet会创建出session对象，同时会创建出一个cookie对象。Cookie c=new Cookie(“JSESSIONID”,session.getId());

2.当浏览器再次发出请求时，浏览器会自动携带cookie，request.getSession();这行代码的底层会获取到JSESSIONID的值。通过值找到与之对应的session。

伪代码：

Map<String,HttpSession> sessionMap=new ConcurrentHashMap<>();//存放所有session的集合
//第一次请求
HttpSession session=new HttpSession();//第一次请求过来时，实例化出来session对象。
Cookie c=new Cookie(“JSESSIONID”,session.getId());//session的id放入cookie里面响应。
response.addCookie(c);
Session.put(session.getId(),session);//把session放入到sessionMap的集合里面。//第n次请求
Cookie[] cookies=Request.getCookies();//获取到所有的cookie
String value=null;For(Cookie c:cookies){String name=c.getName();//获取到cookie的标记If(“JSESSION”.equals(name)){Value=c.getValue();}
}If(value!=null){HttpSession session=sessionMap.get(value);
}