其他更多java基礎文章: java基礎學習(目錄)
一、會話概述
1.1、什麼是會話?
會話可簡單理解為:使用者開一個瀏覽器,點選多個超連結,訪問伺服器多個web資源,然後關閉瀏覽器,整個過程稱之為一個會話其中不管瀏覽器傳送多少請求,都視為一次會話,直到瀏覽器關閉,本次會話結束。
其中注意,一個瀏覽器就相當於一部電話,如果使用火狐瀏覽器,訪問伺服器,就是一次會話了,然後開啟google瀏覽器,訪問伺服器,這是另一個會話,雖然是在同一臺電腦,同一個使用者在訪問,但是,這是兩次不同的會話。
1.2、會話機制
Web程式中常用的技術,用來跟蹤使用者的整個會話。常用的會話跟蹤技術是Cookie與Session。Cookie通過在客戶端記錄資訊確定使用者身份,Session通過在伺服器端記錄資訊確定使用者身份。
二、Cookie
Cookie是客戶端技術,程式把每個使用者的資料以cookie的形式寫給使用者各自的瀏覽器。當使用者使用瀏覽器再去訪問伺服器中的web資源時,就會帶著各自的資料去。這樣,web資源處理的就是使用者各自的資料了。由於cookie是由客戶端瀏覽器儲存和攜帶的,所以稱之為客戶端技術
2.1、Cookie的工作流程
1)servlet建立cookie,儲存少量資料,傳送瀏覽器。
2)瀏覽器獲得伺服器傳送的cookie資料,將自動的儲存到瀏覽器端。
3)下次訪問時,瀏覽器將自動攜帶cookie資料傳送給伺服器。
2.2、Cookie特點
1)每一個cookie檔案大小:4kb , 如果超過4kb瀏覽器不識別
2)一個web站點(web專案):傳送20個
3)一個瀏覽器儲存總大小:300個
4)cookie 不安全,可能洩露使用者資訊。瀏覽器支援禁用cookie操作。
5) 預設情況生命週期:與瀏覽器會話一樣,當瀏覽器關閉時cookie銷燬的。---臨時cookie
cookie.setMaxAge(expiry);  //設定cookie被瀏覽器儲存的時間。
      
expiry:單位秒,預設為-1,
expiry=-1:代表瀏覽器關閉後,也就是會話結束後,cookie就失效了,也就沒有了。
expiry>0:代表瀏覽器關閉後,cookie不會失效,仍然存在。並且會將cookie儲存到硬碟中,直到設定時間過期才會被瀏覽器自動刪除,
expiry=0:刪除cookie。不管是之前的expiry=-1還是expiry>0,當設定expiry=0時,cookie都會被瀏覽器給刪除。
複製程式碼
2.3、Cookie操作
操作cookie
  1)建立cookie:new Cookie(name,value)
  2)傳送cookie到瀏覽器:HttpServletResponse.addCookie(Cookie)
  3)servlet接收cookie:HttpServletRequest.getCookies() 瀏覽器傳送的所有cookie
複製程式碼
cookie API
getName() 獲得名稱,cookie中的key
getValue() 獲得值,cookie中的value
  setValue(java.lang.String newValue) 設定內容,用於修改key對應的value值。
  setMaxAge(int expiry) 設定有效時間【】
  setPath(java.lang.String uri) 設定路徑【】  
  setDomain(java.lang.String pattern) 設定域名 , 一般無效,有瀏覽器自動設定,setDomain(".zyh.com")
    www.zyh.com / bbs.zyh.com 都可以訪問
    a.b.zyh.com無法訪問
    作用:設定cookie的作用範圍,域名+路徑在一起就構成了cookie的作用範圍,上面單獨設定的setPath有用,是因為有瀏覽器自動設定該域名屬性,但是我們必須知道有這麼個屬性進行域名設定的
  isHttpOnly() 是否只是http協議使用。只能servlet的通過getCookies()獲得,javascript不能獲得。
  setComment(java.lang.String purpose) (瞭解)  //對該cookie進行描述的資訊(說明作用),瀏覽器顯示cookie資訊時能看到
  setSecure(boolean flag) (瞭解)  是否使用安全傳輸協議。為true時,只有當是https請求連線時cookie才會傳送給伺服器端,而http時不會,但是服務端還是可以傳送給瀏覽端的。
  setVersion(int v) (瞭解)  引數為0(傳統Netscape cookie規範編譯)或1(RFC 2109規範編譯)。這個沒用到,不是很懂
複製程式碼
注意事項
cookie不能傳送中文,如果要傳送中文,就需要進行特別處理。
Cookie cookie = new Cookie("country", URLEncoder.encode("中國", "UTF-8"));
response.addCookie(cookie);
//經過URLEncoding就要URLDecoding
String value = URLDecoder.decode(cookies[i].getValue(), "UTF-8");
複製程式碼
三、Session
在WEB開發中,伺服器可以為每個使用者瀏覽器建立一個會話物件(session物件),注意:一個瀏覽器獨佔一個session物件(預設情況下)
因此,在需要儲存使用者資料時,伺服器程式可以把使用者資料寫到使用者瀏覽器獨佔的session中,當使用者使用瀏覽器訪問其它程式時,其它程式可以從使用者的session中取出該使用者的資料,為使用者服務。
3.1、Session的原理
- 首先瀏覽器請求伺服器訪問web站點時,程式需要為客戶端的請求建立一個session的時候,伺服器首先會檢查這個客戶端請求是否已經包含了一個session標識、稱為SESSIONID
- 如果已經包含了一個sessionid則說明以前已經為此客戶端建立過session,伺服器就按照sessionid把這個session檢索出來使用,如果客戶端請求不包含session id,則伺服器為此客戶端建立一個session並且生成一個與此session相關聯的session id,sessionid 的值應該是一個既不會重複,又不容易被找到規律以仿造的字串,這個sessionid將在本次響應中返回到客戶端儲存,儲存這個sessionid的方式一般就是cookie。
- 這樣在互動的過程中,瀏覽器可以自動的按照規則把這個標識發回給伺服器,伺服器根據這個sessionid就可以找得到對應的session,又回到了步驟1。
3.2、Session的生命週期
常常聽到這樣一種誤解“只要關閉瀏覽器,session就消失了”。其實可以想象一下會員卡的例子,除非顧客主動對店家提出銷卡,否則店家絕對不會輕易刪除顧客的資料。對session來說也是一樣的,除非程式通知伺服器刪除一個session,否則伺服器會一直保留,程式一般都是在使用者做log off的時候發個指令去刪除session。然而瀏覽器從來不會主動在關閉之前通知伺服器它將要關閉,因此伺服器根本不會有機會知道瀏覽器已經關閉,之所以會有這種錯覺,是大部分session機制都使用會話cookie來儲存session id,而關閉瀏覽器後這個session id就消失了,再次連線伺服器時也就無法找到原來的session。如果伺服器設定的cookie被儲存到硬碟上,或者使用某種手段改寫瀏覽器發出的HTTP請求頭,把原來的session id傳送給伺服器,則再次開啟瀏覽器仍然能夠找到原來的session。
恰恰是由於關閉瀏覽器不會導致session被刪除,迫使伺服器為seesion設定了一個失效時間,一般是30分鐘,當距離客戶端上一次使用session的時間超過這個失效時間時,伺服器就可以認為客戶端已經停止了活動,才會把session刪除以節省儲存空間。Session生成後,只要使用者繼續訪問,伺服器就會更新Session的最後訪問時間,無論是否對Session進行讀寫,伺服器都會認為Session活躍了一次,重新開始計算失效時間。
我們也可以自己來控制session的有效時間:
session.invalidate()將session物件銷燬
setMaxInactiveInterval(int interval) 設定有效時間,單位秒
複製程式碼
在web.xml中配置session的有效時間:
<session-config>
<session-timeout>30</session-timeout> 單位:分鐘
<session-config>
複製程式碼
所以,討論了這麼久,session的生命週期就是:
建立:Session儲存在伺服器端,一般放置在伺服器的記憶體中(為了高速存取),Sessinon在使用者訪問第一次訪問伺服器時建立,需要注意只有訪問JSP、Servlet等程式時才會建立Session,只訪問HTML、IMAGE等靜態資源並不會建立Session,可呼叫request.getSession(true)強制生成Session。
銷燬:
1)超時,預設30分鐘
2)執行api:session.invalidate()將session物件銷燬、setMaxInactiveInterval(int interval) 設定有效時間,單位:秒
3)伺服器非正常關閉(自殺,直接將JVM馬上關閉)
如果正常關閉,session就會被持久化(寫入到檔案中,因為session預設的超時時間為30分鐘,正常關閉後,就會將session持久化,等30分鐘後,就會被刪除)
位置: D:\java\tomcat\apache-tomcat-7.0.53\work\Catalina\localhost\test01\SESSIONS.ser
3.3、session id的URL重寫
當瀏覽器將cookie禁用,基於cookie的session將不能正常工作,每次使用request.getSession() 都將建立一個新的session。達不到session共享資料的目的,但是我們知道原理,只需要將session id 傳遞給伺服器session就可以正常工作的。
解決:通過URL將session id 傳遞給伺服器:URL重寫
1)手動方式: url;jsessionid=....
2)api方式:
encodeURL(java.lang.String url) 進行所有URL重寫
encodeRedirectURL(java.lang.String url) 進行重定向 URL重寫
複製程式碼
這兩個用法基本一致,只不過考慮特殊情況,要訪問的連結可能會被Redirect到其他servlet去進行處理,這樣你用上述方法帶來的session的id資訊不能被同時傳送到其他servlet。這時候用encodeRedirectURL()方法就可以了。如果瀏覽器禁用cooke,api將自動追加session id ,如果沒有禁用,api將不進行任何修改。
注意:如果瀏覽器禁用cookie,web專案的所有url都需進行重寫。否則session將不能正常工作。
當cookie禁用時:
四、Session和Cookie的區別
4.1、從儲存方式上比較
Cookie只能儲存字串,如果要儲存非ASCII字串還要對其編碼。
Session可以儲存任何型別的資料,可以把Session看成是一個容器
4.2、從隱私安全上比較
Cookie儲存在瀏覽器中,對客戶端是可見的。資訊容易洩露出去。如果使用Cookie,最好將Cookie加密
Session儲存在伺服器上,對客戶端是透明的。不存在敏感資訊洩露問題。
4.3、從有效期上比較
Cookie儲存在硬碟中,只需要設定maxAge屬性為比較大的正整數,即使關閉瀏覽器,Cookie還是存在的
Session的儲存在伺服器中,設定maxInactiveInterval屬性值來確定Session的有效期。並且Session依賴於名為JSESSIONID的Cookie,該Cookie預設的maxAge屬性為-1。如果關閉了瀏覽器,該Session雖然沒有從伺服器中消亡,但也就失效了。
4.4、從對伺服器的負擔比較
Session是儲存在伺服器的,每個使用者都會產生一個Session,如果是併發訪問的使用者非常多,是不能使用Session的,Session會消耗大量的記憶體。
Cookie是儲存在客戶端的。不佔用伺服器的資源。像baidu、Sina這樣的大型網站,一般都是使用Cookie來進行會話跟蹤。
4.5、從瀏覽器的支援上比較
如果瀏覽器禁用了Cookie,那麼Cookie是無用的了!
如果瀏覽器禁用了Cookie,Session可以通過URL地址重寫來進行會話跟蹤。
4.6、從跨域名上比較
Cookie可以設定domain屬性來實現跨域名
Session只在當前的域名內有效,不可誇域名