JavaWeb笔记-Cookie＆Session 知识概述

一、会话的概念

会话可简单理解为：用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。

二、会话过程中要解决的一些问题？

每个用户在使用浏览器与服务器进行会话的过程中，不可避免各自会产生一些数据，程序要想办法为每个用户保存这些数据。

三、保存会话数据的两种技术

3.1、Cookie

Cookie是客户端技术，程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去。这样，web资源处理的就是用户各自的数据了。

3.2、Session

Session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问服务器中的其它web资源时，其它web资源再从用户各自的session中取出数据为用户服务。

四、Java提供的操作Cookie的API

Class Cookie

java.lang.Object

public classCookieextends Objectimplements Cloneable, Serializable

All Implemented Interfaces:

Serializable, Cloneable

官方翻译:

创建一个cookie, servlet将少量信息发送到Web浏览器，由浏览器保存，然后发送回服务器。cookie的值可以唯一地标识客户机，因此cookie通常用于会话管理。

cookie有名称、单个值和可选属性，如注释、路径和域限定符、最大age和版本号。一些Web浏览器在如何处理可选属性方面存在缺陷，因此要节约使用它们来改进servlet的互操作性。

浏览器通过向HTTP请求头添加字段将cookie返回给servlet。可以使用HttpServletRequest.getCookies()方法从请求中检索cookie。多个cookie可能具有相同的名称，但路径属性不同。

cookie会影响使用它们的Web页面的缓存。HTTP 1.0不缓存使用此类创建的cookie的页面。该类不支持使用HTTP 1.1定义的缓存控件。

这个类同时支持版本0 (Netscape)和版本1 (RFC 2109)的cookie规范。默认情况下，cookie是使用Version 0创建的，以确保最佳的互操作性。

Cookie类的主要方法

response接口也中定义了一个addCookie方法，它用于在其响应头中增加一个相应的Set-Cookie头字段。 同样，request接口中也定义了一个getCookies方法，它用于获取客户端提交的Cookie。

五、Cookie使用范例

5.1、使用cookie记录用户上一次访问的时间

第一次访问时这个Servlet时，效果如下所示：

点击浏览器的刷新按钮，进行第二次访问，此时就服务器就可以通过cookie获取浏览器上一次访问的时间了，效果如下：

在上面的例子中，在程序代码中并没有使用setMaxAge方法设置cookie的有效期，所以当关闭浏览器之后，cookie就失效了，要想在关闭了浏览器之后，cookie依然有效，那么在创建cookie时，就要为cookie设置一个有效期。如下所示：

用户第一次访问时，服务器发送给浏览器的cookie就存储到了硬盘上，如下所示：

这样即使关闭了浏览器，下次再访问时，也依然可以通过cookie获取用户上一次访问的时间。

六、Cookie注意细节

1.一个Cookie只能标识一种信息，它至少含有一个标识该信息的名称（NAME）和设置值（VALUE）。

2.一个WEB站点可以给一个WEB浏览器发送多个Cookie，一个WEB浏览器也可以存储多个WEB站点提供的Cookie。

3.浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB。

4.如果创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie（即存储在浏览器的内存中），用户退出浏览器之后即被删除。若希望浏览器将该cookie存储在磁盘上，则需要使用maxAge，并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。

6.1、删除Cookie

注意：删除cookie时，path必须一致，否则不会删除

6.2、cookie中存取中文

要想在cookie中存储中文，那么必须使用URLEncoder类里面的encode(String s, String enc)方法进行中文转码，例如：

在获取cookie中的中文数据时，再使用URLDecoder类里面的decode(String s, String enc)进行解码，例如：

一、Session简单介绍

Interface HttpSession

public interfaceHttpSession

提供一种方法来跨多个页面请求或访问Web站点来标识用户，并存储有关该用户的信息。

servlet容器使用此接口在HTTP客户机和HTTP服务器之间创建会话。会话在指定的时间段内持续存在，跨越来自用户的多个连接或页面请求。一个会话通常对应一个用户，该用户可能多次访问一个站点。服务器可以以多种方式维护会话，比如使用cookie或重写url。

这个接口允许servlet这样做

查看和操作有关会话的信息，如会话标识符、创建时间和最后访问时间

将对象绑定到会话，允许用户信息跨多个用户连接持久化

当应用程序在会话中存储对象或从会话中删除对象时，会话检查该对象是否实现HttpSessionBindingListener。如果是，servlet会通知对象它已经绑定到会话或从会话中解除绑定。绑定方法完成后将发送通知。对于无效或过期的会话，将在会话无效或过期后发送通知。

当容器在分布式容器设置中的vm之间迁移会话时，将通知实现HttpSessionActivationListener接口的所有会话属性。

servlet应该能够处理客户端不选择加入会话的情况，比如故意关闭cookie的情况。在客户端加入会话之前，isNew返回true。如果客户端选择不加入会话，getSession将在每个请求上返回不同的会话，isNew将始终返回true。

会话信息的作用域仅限于当前web应用程序(ServletContext)，因此存储在一个上下文中的信息在另一个上下文中不会直接可见。

通过官方的解释我们知道 , 在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

二、Session和Cookie的主要区别

Cookie是把用户的数据写给用户的浏览器。

Session技术把用户的数据写到用户独占的session中。

Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象。

三、session实现原理

3.1、服务器是如何实现一个session为一个用户浏览器服务的？

服务器创建session出来后，会把session的id号，以cookie的形式回写给客户机，这样，只要客户机的浏览器不关，再去访问服务器时，都会带着session的id号去，服务器发现客户机浏览器带session id过来了，就会使用内存中与之对应的session为之服务。可以用如下的代码证明：

第一次访问时，服务器会创建一个新的sesion，并且把session的Id以cookie的形式发送给客户端浏览器，如下图所示：

击刷新按钮，再次请求服务器，此时就可以看到浏览器再请求服务器时，会把存储到cookie中的session的Id一起传递到服务器端了，如下图所示：

request.getSession()方法内部新创建了Session之后会做如下处理

四、浏览器禁用Cookie后的session处理

4.1、IE8禁用cookie

工具->internet选项->隐私->设置->将滑轴拉到最顶上（阻止所有cookies）

4.2、解决方案：URL重写

response.encodeRedirectURL(java.lang.String url) 用于对sendRedirect方法后的url地址进行重写。

response.encodeURL(java.lang.String url)用于对表单action和超链接的url地址进行重写

4.3、范例：禁用Cookie后servlet共享Session中的数据

IndexServlet

BuyServlet

ListCartServlet

在禁用了cookie的IE8下的运行效果如下：

通过查看IndexServlet生成的html代码可以看到，每一个超链接后面都带上了session的Id，如下所示

所以，当浏览器禁用了cookie后，就可以用URL重写这种解决方案解决Session数据共享问题。而且response. encodeRedirectURL(java.lang.String url)和response. encodeURL(java.lang.String url)是两个非常智能的方法，当检测到浏览器没有禁用cookie时，那么就不进行URL重写了。我们在没有禁用cookie的火狐浏览器下访问，效果如下

从演示动画中可以看到，浏览器第一次访问时，服务器创建Session，然后将Session的Id以Cookie的形式发送回给浏览器，response. encodeURL(java.lang.String url)方法也将URL进行了重写，当点击刷新按钮第二次访问，由于火狐浏览器没有禁用cookie，所以第二次访问时带上了cookie，此时服务器就可以知道当前的客户端浏览器并没有禁用cookie，那么就通知response. encodeURL(java.lang.String url)方法不用将URL进行重写了。

五、session对象的创建和销毁时机

5.1、session对象的创建时机

在程序中第一次调用request.getSession()方法时就会创建一个新的Session，可以用isNew()方法来判断Session是不是新创建的

范例：创建session

5.2、session对象的销毁时机

session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间，例如：

当需要在程序中手动设置Session失效时，可以手工调用session.invalidate方法，摧毁session。

总结 :

1.会话??

用户开一个浏览器,点击多个链接,访问服务器多个资源,然后关闭资源,整个过程称之为一个回话 ;

举例 : 网上购物

第一种场景:

购买 : Request1

结账 : Request2

不同域作用范围的 request, 不能取到数据 ;

第二种场景:

ServletContext 全局共享->数据错乱问题

2.Cookie实现原理?

用户在浏览器通过访问购买Servlet->Servlet 通过Set-Cookie回写数据到浏览器->IE会缓存Cookie->结账时在通过Cookie里携带的数据访问结账Servlet

3.Session实现原理?

购买 : Request1

结账 : Request1

两个用的是同一个Session 数据是共享的; session会在客户端为每个用户独自保留一份;

4.Cookie如何封装数据以及回写给浏览器?

5.cookie细节？

一个cookie只能标识一种信息

一个web站点可以给web浏览器发送多个cookie

浏览器一般只允许值存放300个cookie ,每个站点最多存放20个cookie ,每个cookie限制在4KB ;

默认存储在浏览器内存中，设置maxAge将会保存在硬盘中 ;

6.Session?

web开发中，服务器可以为每个用户浏览器创建一个回话对象，一个浏览器独占一个session对象;

7.session的生命周期？

第一次访问创建

关闭浏览器销毁 ， 停留当前窗口30min销毁

8.摧毁session的方式？

第一种：xml

9.session实现原理？

基于cookie,每个session创建好的时候会记录每个session的ID,以cookie的形式记录在浏览器;

注意：当以cookie的形式记录session的话是没有有效期的;当关闭浏览器的时候就销毁了,(必须设置有效期)

10.如果用户禁用浏览器Cookies ,如何处理? 注意：localhoost是不禁止的

解决方案：url重写

11.session完成用户登录？

12.防止表单重复提交？

两种解决方案：

javascript防止 不重复

2.服务器端防止 （携带随机数）

13.一致性校验图片验证码？

注意校验图片中中文编码问题：

利用Session