很大一部分應該知道什麼是會話機制,也能說的出幾句,我也大概瞭解一點,但是學了之後幾天不用,立馬忘的一乾二淨,原因可能是沒能好好理解這兩種會話機制,所以會一直遺忘,一直重新回過頭來學習它,今天好好把他總結一下,借鑑該文章中的內容,因爲我覺得該篇文章確實寫的很不錯,解答了我很多疑問,特點是對cookie和session的理解,其中的會員卡的例子,真是一針見血的奇效。我按照自己的思路來重新整理一份,給自己以後看。
--WH
一、會話機制
Web程序中常用的技術,用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份,Session通過在服務器端記錄信息確定用戶身份。
一次會話指的是:就好比打電話,A給B打電話,接通之後,會話開始,直到掛斷電話,該次會話就結束了,而瀏覽器訪問服務器,就跟打電話一樣,瀏覽器A給服務器發送請求,訪問web程序,該次會話就已經接通,其中不管瀏覽器發送多少請求(就相當於接通電話後說話一樣),都視爲一次會話,直到瀏覽器關閉,本次會話結束。其中注意,一個瀏覽器就相當於一部電話,如果使用火狐瀏覽器,訪問服務器,就是一次會話了,然後打開google瀏覽器,訪問服務器,這是另一個會話,雖然是在同一臺電腦,同一個用戶在訪問,但是,這是兩次不同的會話。
知道了什麼是會話後,思考一個問題,一個瀏覽器訪問一個服務器就能建立一個會話,如果別的電腦,都同時訪問該服務器,就會創建很多會話,就拿一些購物網站來說,我們訪問一個購物網站的服務器,會話就被創建了,然後就點擊瀏覽商品,對感興趣的商品就先加入購物車,等待一起付賬,這看起來是很普通的操作,但是想一下,如果有很多別的電腦上的瀏覽器同時也在訪問該購物網站的服務器,跟我們做類似的操作呢?服務器又是怎麼記住用戶,怎麼知道用戶A購買的任何商品都應該放在A的購物車內,不論是用戶A什麼時間購買的,不能放入用戶B或用戶C的購物車內的呢?所以就有了cookie和session這兩個技術,就像第一行說的那樣,cookie和session用來跟蹤用戶的整個會話,
Cookie和Session之間的區別和聯繫
假如一個咖啡店有喝5杯咖啡免費贈一杯咖啡的優惠,然而一次性消費5杯咖啡的機會微乎其微,這時就需要某種方式來紀錄某位顧客的消費數量。想象一下其實也無外乎下面的幾種方案:
1、該店的店員很厲害,能記住每位顧客的消費數量,只要顧客一走進咖啡店,店員就知道該怎麼對待了。這種做法就是協議本身支持狀態。但是http協議本身是無狀態的
2、發給顧客一張卡片,上面記錄着消費的數量,一般還有個有效期限。每次消費時,如果顧客出示這張卡片,則此次消費就會與以前或以後的消費相聯繫起來。這種做法就是在客戶端保持狀態。也就是cookie。 顧客就相當於瀏覽器,cookie如何工作,下面會詳細講解
3、發給顧客一張會員卡,除了卡號之外什麼信息也不紀錄,每次消費時,如果顧客出示該卡片,則店員在店裏的紀錄本上找到這個卡號對應的紀錄添加一些消費信息。這種做法就是在服務器端保持狀態。
由於HTTP協議是無狀態的,而出於種種考慮也不希望使之成爲有狀態的,因此,後面兩種方案就成爲現實的選擇。具體來說cookie機制採用的是在客戶端保持狀態的方案,而session機制採用的是在服務器端保持狀態的方案。同時我們也看到,由於採用服務器端保持狀態的方案在客戶端也需要保存一個標識,所以session機制可能需要藉助於cookie機制來達到保存標識的目的,但實際上它還有其他選擇
二、Cookie
上面已經介紹了爲什麼要使用Cookie,以及Cookie的一些特點,比如保存在客戶端,用來記錄用戶身份信息的,現在來看看如何使用Cookie。
藉着上面會員卡的例子來說,採用的是第二種方案,其中還需要解決的問題就是:如何分發會員卡,會員卡的內容,客戶如何使用會員卡,會員卡的有效日期,會員卡的使用範圍
1、如何分發會員卡、會員卡的內容:也就是cookie是如何創建的?創建後如何發送給客戶端?
由服務器進行創建,也就相當於咖啡店來創建會員卡,在創建會員卡的同時,就會將會員卡中的內容也給設置了
Cookie cookie = new Cookie(key,value); //以鍵值對的方式存放內容,
response.addCookie(cookie); //發送回瀏覽器端
注意:一旦cookie創建好了,就不能在往其中增加別的鍵值對,但是可以修改其中的內容,
cookie.setValue(); //將key對應的value值修改
2、客戶如何使用會員卡,cookie在客戶端是如何工作的,工作原理是什麼?
這個過程就相當於,咖啡店創建好了會員卡,並且已經設置了其中的內容,交到了客戶手中,下次客戶過來時,就帶着會員卡過來,就知道你是會員了,然後咖啡店就拿到你的會員卡對其進行操作。
3、會員卡的有效日期?也就是cookie也是擁有有效日期的。
這個可以自由設置,默認是關閉瀏覽器,cookie就沒用了。
cookie.setMaxAge(expiry); //設置cookie被瀏覽器保存的時間。
expiry:單位秒,默認爲-1,
expiry=-1:代表瀏覽器關閉後,也就是會話結束後,cookie就失效了,也就沒有了。
expiry>0:代表瀏覽器關閉後,cookie不會失效,仍然存在。並且會將cookie保存到硬盤中,直到設置時間過期纔會被瀏覽器自動刪除,
expiry=0:刪除cookie。不管是之前的expiry=-1還是expiry>0,當設置expiry=0時,cookie都會被瀏覽器給刪除。
4、會員卡的使用範圍?比如星巴克在北京有一個分店,在上海也有一個分店,我們只是在北京的星巴克辦理了會員卡,那麼當我們到上海時,就不能使用該會員卡進行打折優惠了。而cookie也是如此,可以設置服務器端獲取cookie的訪問路徑,而並非在服務器端的web項目中所有的servlet都能訪問該cookie。
cookie默認路徑:當前訪問的servlet父路徑。
例如:http://localhost:8080/test01/a/b/c/SendCookieServlet
默認路徑:/test01/a/b/c 也就是說,在該默認路徑下的所有Servlet都能夠獲取到cookie,/test01/a/b/c/MyServlet 這個MyServlet就能獲取到cookie。
修改cookie的訪問路徑
setPath("/"); //在該服務器下,任何項目,任何位置都能獲取到cookie,
通途:保證在tomcat下所有的web項目可以共享相同的cookie
例如:tieba , wenku , beike 多個項目共享數據。例如用戶名。
setPath("/test01/"); //在test01項目下任何位置都能獲取到cookie。
5、總結Cookie:
工作流程:
1. servlet創建cookie,保存少量數據,發送瀏覽器。
2. 瀏覽器獲得服務器發送的cookie數據,將自動的保存到瀏覽器端。
3. 下次訪問時,瀏覽器將自動攜帶cookie數據發送給服務器。
cookie操作
1.創建cookie:new Cookie(name,value)
2.發送cookie到瀏覽器:HttpServletResponse.addCookie(Cookie)
3.servlet接收cookie:HttpServletRequest.getCookies() 瀏覽器發送的所有cookie
cookie特點
1. 每一個cookie文件大小:4kb , 如果超過4kb瀏覽器不識別
2. 一個web站點(web項目):發送20個
3.一個瀏覽器保存總大小:300個
4.cookie 不安全,可能泄露用戶信息。瀏覽器支持禁用cookie操作。
5. 默認情況生命週期:與瀏覽器會話一樣,當瀏覽器關閉時cookie銷燬的。---臨時cookie
cookie api
getName() 獲得名稱,cookie中的key
getValue() 獲得值,cookie中的value
setValue(java.lang.String newValue) 設置內容,用於修改key對應的value值。
setMaxAge(int expiry) 設置有效時間【】
setPath(java.lang.String uri) 設置路徑【】
setDomain(java.lang.String pattern) 設置域名 , 一般無效,有瀏覽器自動設置,setDomain(".itheima.com")
www.itheima.com / bbs.itheima.com 都可以訪問
a.b.itheima.com無法訪問
作用:設置cookie的作用範圍,域名+路徑在一起就構成了cookie的作用範圍,上面單獨設置的setPath有用,是因爲有瀏覽器自動設置該域名屬性,但是我們必須知道有這麼個屬性進行域名設置的
isHttpOnly() 是否只是http協議使用。只能servlet的通過getCookies()獲得,javascript不能獲得。
setComment(java.lang.String purpose) (瞭解) //對該cookie進行描述的信息(說明作用),瀏覽器顯示cookie信息時能看到
setSecure(boolean flag) (瞭解) 是否使用安全傳輸協議。爲true時,只有當是https請求連接時cookie纔會發送給服務器端,而http時不會,但是服務端還是可以發送給瀏覽端的。
setVersion(int v) (瞭解) 參數爲0(傳統Netscape cookie規範編譯)或1(RFC 2109規範編譯)。這個沒用到,不是很懂
注意:cookie不能發送中文,如果要發送中文,就需要進行特別處理。
JDK提供工具,進行編碼
URLEncoder:編碼
URLDecoder:解碼
//發送cookie
Cookie cookie = new Cookie(URLEncoder.encode("哈哈"),URLEncoder.encode("呵呵"));
response.addCookie(cookie);
//獲得cookie中文內容
URLDecoder.decoder(request.getCookie().getName); //獲取key
URLDecoder.decoder(request.getCookie().getValue); //獲取value
6.cookie案例
6.1、記住用戶名
登錄時,在服務器端獲取到用戶名,然後創建一個cookie,將用戶名存入cookie中,發送回瀏覽器端,然後瀏覽器下次在訪問登錄頁面時,先拿到cookie,將cookie中的信息拿出來,看是否保存了該用戶名,如果保存了,那麼直接用他,如果沒有,則自己手寫用戶名。
6.2、歷史記錄
比如購物網站,都會有我們的瀏覽記錄的,實現原理其實也是用cookie技術,每瀏覽一個商品,就將其存入cookie中,到需要顯示瀏覽記錄時,只需要將cookie拿出來遍歷即可。
三、Session
同樣,會員卡的例子的第三種方法,發給顧客一張會員卡,除了卡號之外什麼信息也不紀錄,每次消費時,如果顧客出示該卡片,則店員在店裏的紀錄本上找到這個卡號對應的紀錄添加一些消費信息。這種做法就是在服務器端保持狀態。 這就是session的用法,在服務器端來保持狀態,保存一些用戶信息。
功能作用:服務器用於共享數據技術,
session原理分析:
首先瀏覽器請求服務器訪問web站點時,程序需要爲客戶端的請求創建一個session的時候,服務器首先會檢查這個客戶端請求是否已經包含了一個session標識、稱爲SESSIONID,如果已經包含了一個sessionid則說明以前已經爲此客戶端創建過session,服務器就按照sessionid把這個session檢索出來使用,如果客戶端請求不包含session id,則服務器爲此客戶端創建一個session並且生成一個與此session相關聯的session id,sessionid 的值應該是一個既不會重複,又不容易被找到規律以仿造的字符串,這個sessionid將在本次響應中返回到客戶端保存,保存這個sessionid的方式就可以是cookie,這樣在交互的過程中,瀏覽器可以自動的按照規則把這個標識發回給服務器,服務器根據這個sessionid就可以找得到對應的session,又回到了這段文字的開始。
獲取session:
request.getSession(); //如果沒有將創建一個新的,等效getSession(true);
有些人不理解,爲什麼是通過request來獲取session,可以這樣理解,在獲取session時,需要檢測請求中是否有session標識,所以需要用request來獲取
request.getSession(boolean); //true:沒有將創建,false:沒有將返回null
session屬性操作:
xxxAttribute(...)
用來存放一些信息,然後才能共享信息
setAttrubute(key,value);
getAttribute(key);
session生命週期
常常聽到這樣一種誤解“只要關閉瀏覽器,session就消失了”。其實可以想象一下會員卡的例子,除非顧客主動對店家提出銷卡,否則店家絕對不會輕易刪除顧客的資料。對session來說也是一樣的,除非程序通知服務器刪除一個session,否則服務器會一直保留,程序一般都是在用戶做log off的時候發個指令去刪除session。然而瀏覽器從來不會主動在關閉之前通知服務器它將要關閉,因此服務器根本不會有機會知道瀏覽器已經關閉,之所以會有這種錯覺,是大部分session機制都使用會話cookie來保存session id,而關閉瀏覽器後這個session id就消失了,再次連接服務器時也就無法找到原來的session。如果服務器設置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發出的HTTP請求頭,把原來的session id發送給服務器,則再次打開瀏覽器仍然能夠找到原來的session
恰恰是由於關閉瀏覽器不會導致session被刪除,迫使服務器爲seesion設置了一個失效時間,一般是30分鐘,當距離客戶端上一次使用session的時間超過這個失效時間時,服務器就可以認爲客戶端已經停止了活動,纔會把session刪除以節省存儲空間
我們也可以自己來控制session的有效時間
session.invalidate()將session對象銷燬
setMaxInactiveInterval(int interval) 設置有效時間,單位秒
在web.xml中配置session的有效時間
<session-config>
<session-timeout>30</session-timeout> 單位:分鐘
<session-config>
所以,討論了這麼就,session的生命週期就是:
創建:第一次調用getSession()
銷燬:
1、超時,默認30分鐘
2、執行api:session.invalidate()將session對象銷燬、setMaxInactiveInterval(int interval) 設置有效時間,單位秒
3、服務器非正常關閉
自殺,直接將JVM馬上關閉
如果正常關閉,session就會被持久化(寫入到文件中,因爲session默認的超時時間爲30分鐘,正常關閉後,就會將session持久化,等30分鐘後,就會被刪除)
位置: D:\java\tomcat\apache-tomcat-7.0.53\work\Catalina\localhost\test01\SESSIONS.ser
session id的URL重寫
當瀏覽器將cookie禁用,基於cookie的session將不能正常工作,每次使用request.getSession() 都將創建一個新的session。達不到session共享數據的目的,但是我們知道原理,只需要將session id 傳遞給服務器session就可以正常工作的。
解決:通過URL將session id 傳遞給服務器:URL重寫
手動方式: url;jsessionid=....
api方式:
encodeURL(java.lang.String url) 進行所有URL重寫
encodeRedirectURL(java.lang.String url) 進行重定向 URL重寫
這兩個用法基本一致,只不過考慮特殊情況,要訪問的鏈接可能會被Redirect到其他servlet去進行處理,這樣你用上述方法帶來的session的id信息不能被同時傳送到其他servlet.這時候用encodeRedirectURL()方法就可以了
如果瀏覽器禁用cooke,api將自動追加session id ,如果沒有禁用,api將不進行任何修改。
注意:如果瀏覽器禁用cookie,web項目的所有url都需進行重寫。否則session將不能正常工作
當禁止了cookie時,
四、總結
知道了什麼是cookie和什麼是session?
cookie是一種在客戶端記錄用戶信息的技術,因爲http協議是無狀態的,爲了解決這個問題而產生了cookie。記錄用戶名等一些應用
session是一種在服務端記錄用戶信息的技術,一般session用來在服務器端共享數據,
cookie的工作原理?session的工作原理?
cookie工作原理,可以看上面講解cookie的那張圖,cookie是由服務器端創建發送回瀏覽器端的,並且每次請求服務器都會將cookie帶過去,以便服務器知道該用戶是哪一個。其cookie中是使用鍵值對來存儲信息的,並且一個cookie只能存儲一個鍵值對。所以在獲取cookie時,是會獲取到所有的cookie,然後從其中遍歷。
session的工作原理就是依靠cookie來做支撐,第一次使用request.getSession()時session被創建,並且會爲該session創建一個獨一無二的sessionid存放到cookie中,然後發送會瀏覽器端,瀏覽器端每次請求時,都會帶着這個sessionid,服務器就會認識該sessionid,知道了sessionid就找得到哪個session。以此來達到共享數據的目的。 這裏需要注意的是,session不會隨着瀏覽器的關閉而死亡,而是等待超時時間。
如果對cookie和session還有不理解的地方,用大家肯定都會用,就是需要理解,爲什麼需要使用cookie和session,可以看看那個會員卡的例子,cookie和session只是爲了解決http協議無狀態的這種缺陷,爲了記錄用戶信息,記錄瀏覽器和服務器之間的狀態和衍生出來的。