什麼是Session
Session 是另一種記錄瀏覽器狀態的機制。不同的是Cookie儲存在瀏覽器中,Session儲存在伺服器中。使用者使用瀏覽器訪問伺服器的時候,伺服器把使用者的資訊以某種的形式記錄在伺服器,這就是Session
如果說Cookie是檢查使用者身上的”通行證“來確認使用者的身份,那麼Session就是通過檢查伺服器上的”客戶明細表“來確認使用者的身份的。Session相當於在伺服器中建立了一份“客戶明細表”。
為什麼要使用Session技術?
Session比Cookie使用方便,Session可以解決Cookie解決不了的事情【Session可以儲存物件,Cookie只能儲存字串。】。
Session API#
- long getCreationTime();【獲取Session被建立時間】
- String getId();【獲取Session的id】
- long getLastAccessedTime();【返回Session最後活躍的時間】
- ServletContext getServletContext();【獲取ServletContext物件】
- void setMaxInactiveInterval(int var1);【設定Session超時時間】
- int getMaxInactiveInterval();【獲取Session超時時間】
- Object getAttribute(String var1);【獲取Session屬性】
- Enumeration getAttributeNames();【獲取Session所有的屬性名】
- void setAttribute(String var1, Object var2);【設定Session屬性】
- void removeAttribute(String var1);【移除Session屬性】
- void invalidate();【銷燬該Session】
- boolean isNew();【該Session是否為新的】
Session作為域物件
從上面的API看出,Session有著request和ServletContext類似的方法。其實Session也是一個域物件。Session作為一種記錄瀏覽器狀態的機制,只要Session物件沒有被銷燬,Servlet之間就可以通過Session物件實現通訊
- 我們來試試吧,在Servlet4中設定Session屬性
//得到Session物件
HttpSession httpSession = request.getSession();
//設定Session屬性
httpSession.setAttribute("name", "看完部落格就要點贊!!");
複製程式碼- 在Servlet5中獲取到Session存進去的屬性
//獲取到從Servlet4的Session存進去的值
HttpSession httpSession = request.getSession();
String value = (String) httpSession.getAttribute("name");
System.out.println(value);
複製程式碼- 訪問Servlet4,再訪問Servlet5
- 一般來講,當我們要存進的是使用者級別的資料就用Session,那什麼是使用者級別呢?只要瀏覽器不關閉,希望資料還在,就使用Session來儲存。
Session的生命週期和有效期
-
Session在使用者第一次訪問伺服器Servlet,jsp等動態資源就會被自動建立,Session物件儲存在記憶體裡,這也就為什麼上面的例子可以直接使用request物件獲取得到Session物件。
-
如果訪問HTML,IMAGE等靜態資源Session不會被建立。
-
Session生成後,只要使用者繼續訪問,伺服器就會更新Session的最後訪問時間,無論是否對Session進行讀寫,伺服器都會認為Session活躍了一次。
-
由於會有越來越多的使用者訪問伺服器,因此Session也會越來越多。為了防止記憶體溢位,伺服器會把長時間沒有活躍的Session從記憶體中刪除,這個時間也就是Session的超時時間。
-
Session的超時時間預設是30分鐘,有三種方式可以對Session的超時時間進行修改
-
**第一種方式:**在tomcat/conf/web.xml檔案中設定,時間值為20分鐘,所有的WEB應用都有效
<session-config>
<session-timeout>20</session-timeout>
</session-config>
複製程式碼
- **第二種方式:**在單個的web.xml檔案中設定,對單個web應用有效,如果有衝突,以自己的web應用為準。
<session-config>
<session-timeout>20</session-timeout>
</session-config>
複製程式碼- **第三種方式:**通過setMaxInactiveInterval()方法設定
//設定Session最長超時時間為60秒,這裡的單位是秒
httpSession.setMaxInactiveInterval(60);
System.out.println(httpSession.getMaxInactiveInterval());
複製程式碼
- Session的有效期與Cookie的是不同的
使用Session完成簡單的購物功能
- 我們還是以書籍為例,所以可以copy“顯示瀏覽過的商品“例子部分的程式碼。
response.setContentType("text/html;charset=UTF-8");
PrintWriter printWriter = response.getWriter();
printWriter.write("網頁上所有的書籍:" + "<br/>");
//拿到資料庫所有的書
LinkedHashMap<String, Book> linkedHashMap = DB.getAll();
Set<Map.Entry<String, Book>> entry = linkedHashMap.entrySet();
//顯示所有的書到網頁上
for (Map.Entry<String, Book> stringBookEntry : entry) {
Book book = stringBookEntry.getValue();
String url = "/ouzicheng/Servlet6?id=" + book.getId();
printWriter.write(book.getName());
printWriter.write("<a href='" + url + "'>購買</a>");
printWriter.write("<br/>");
}
複製程式碼- 在購物車頁面上,獲取到使用者想買的書籍【使用者可能不單想買一本書,於是乎,就用一個List容器裝載書籍】,有了:先遍歷Cookie,再判斷是否是第一次訪問Servlet的邏輯思路,我們就可以先獲取到Session的屬性,如果Session的屬性為null,那麼就是還沒有該屬性
//得到使用者想買書籍的id
String id = request.getParameter("id");
//根據書籍的id找到使用者想買的書
Book book = (Book) DB.getAll().get(id);
//獲取到Session物件
HttpSession httpSession = request.getSession();
//由於使用者可能想買多本書的,所以我們用一個容器裝著書籍
List list = (List) httpSession.getAttribute("list");
if (list == null) {
list = new ArrayList();
//設定Session屬性
httpSession.setAttribute("list",list);
}
//把書籍加入到list集合中
list.add(book);
複製程式碼- 按我們正常的邏輯思路:先建立一個ArrayList物件,把書加到list集合中,然後設定Session的屬性。這樣是行不通的。每次Servlet被訪問的時候都會建立一個ArrayList集合,書籍會被分發到不同的ArrayList中去。所以下面的程式碼是不行的!
//得到使用者想買書籍的id
String id = request.getParameter("id");
//根據書籍的id找到使用者想買的書
Book book = (Book) DB.getAll().get(id);
//獲取到Session物件
HttpSession httpSession = request.getSession();
//建立List集合
List list = new ArrayList();
list.add(book);
httpSession.setAttribute("list", list);
複製程式碼- 既然使用者已經購買了書籍,那麼也應該給提供頁面顯示使用者購買過哪些書籍
//得到使用者想買書籍的id
String id = request.getParameter("id");
//根據書籍的id找到使用者想買的書
Book book = (Book) DB.getAll().get(id);
//獲取到Session物件
HttpSession httpSession = request.getSession();
//由於使用者可能想買多本書的,所以我們用一個容器裝著書籍
List list = (List) httpSession.getAttribute("list");
if (list == null) {
list = new ArrayList();
//設定Session屬性
httpSession.setAttribute("list",list);
}
//把書籍加入到list集合中
list.add(book);
String url = "/ouzicheng/Servlet7";
response.sendRedirect(url);
複製程式碼- 列出使用者購買過的書籍
//要得到使用者購買過哪些書籍,得到Session的屬性遍歷即可
HttpSession httpSession = request.getSession();
List<Book> list = (List) httpSession.getAttribute("list");
if (list == null || list.size() == 0) {
printWriter.write("對不起,你還沒有買過任何商品");
} else {
printWriter.write("您購買過以下商品:");
printWriter.write("<br/>");
for (Book book : list) {
printWriter.write(book.getName());
printWriter.write("<br/>");
}
}
複製程式碼- 效果如下
Session的實現原理
- 用現象說明問題,我在Servlet4中的程式碼設定了Session的屬性
//得到Session物件
HttpSession httpSession = request.getSession();
//設定Session屬性
httpSession.setAttribute("name", "看完部落格就要點贊!!");
複製程式碼- 接著在Servlet7把Session的屬性取出來
String value = (String) request.getSession().getAttribute("name");
printWriter.write(value);
複製程式碼- 自然地,我們能取到在Servlet4中Session設定的屬性
- 接著,我在瀏覽器中新建一個會話,再次訪問Servlet7
- 發現報了空指標異常的錯誤
-
現在問題來了:伺服器是如何實現一個session為一個使用者瀏覽器服務的?換個說法:為什麼伺服器能夠為不同的使用者瀏覽器提供不同session?
-
HTTP協議是無狀態的,Session不能依據HTTP連線來判斷是否為同一個使用者。於是乎:伺服器向使用者瀏覽器傳送了一個名為JESSIONID的Cookie,它的值是Session的id值。其實Session依據Cookie來識別是否是同一個使用者。
-
簡單來說:Session 之所以可以識別不同的使用者,依靠的就是Cookie
-
該Cookie是伺服器自動頒發給瀏覽器的,不用我們手工建立的。該Cookie的maxAge值預設是-1,也就是說僅當前瀏覽器使用,不將該Cookie存在硬碟中
-
我們來捋一捋思路流程:當我們訪問Servlet4的時候,伺服器就會建立一個Session物件,執行我們的程式程式碼,並自動頒發個Cookie給使用者瀏覽器
- 當我們用同一個瀏覽器訪問Servlet7的時候,瀏覽器會把Cookie的值通過http協議帶過去給伺服器,伺服器就知道用哪一Session。
- 而當我們使用新會話的瀏覽器訪問Servlet7的時候,該新瀏覽器並沒有Cookie,伺服器無法辨認使用哪一個Session,所以就獲取不到值
瀏覽器禁用了Cookie,Session還能用嗎?
上面說了Session是依靠Cookie來識別使用者瀏覽器的。如果我的使用者瀏覽器禁用了Cookie了呢?絕大多數的手機瀏覽器都不支援Cookie,那我的Session怎麼辦?
- 好的,我們來看看情況是怎麼樣的。使用者瀏覽器訪問Servlet4的時候,伺服器向使用者瀏覽器頒發了一個Cookie
- 但是呢,當使用者瀏覽器訪問Servlet7的時候,由於我們禁用了Cookie,所以使用者瀏覽器並沒有把Cookie帶過去給伺服器。
-
一看,Session好像不能用了。但是Java Web提供瞭解決方法:URL地址重寫
-
HttpServletResponse類提供了兩個URL地址重寫的方法:
- encodeURL(String url)
- encodeRedirectURL(String url)
-
需要值得注意的是:這兩個方法會自動判斷該瀏覽器是否支援Cookie,如果支援Cookie,重寫後的URL地址就不會帶有jsessionid了【當然了,即使瀏覽器支援Cookie,第一次輸出URL地址的時候還是會出現jsessionid(因為沒有任何Cookie可帶)】
-
下面我們就以上面“購物”的例子來做試驗吧!首先我們來看看禁用掉Cookie對原來的小例子有什麼影響。
-
訪問Servlet1,隨便點選一本書籍購買
- 無論點選多少次,都會直接提示我們有買過任何商品
-
原因也非常簡單,沒有Cookie傳遞給伺服器,伺服器每次建立的時候都是新的Session,導致最後獲取到的List集合一定是空的。
-
不同Servlet獲取到的Session的id號都是不同的。
-
下面我們就對URL進行重寫,看看能不能恢復沒有禁掉Cookie之前的效果。
-
原則:把Session的屬性帶過去【傳遞給】另外一個Servlet,都要URL地址重寫
-
在跳轉到顯示購買過商品的Servlet的時候,URL地址重寫。
String url = "/ouzicheng/Servlet7";
response.sendRedirect(response.encodeURL(url));
複製程式碼- 再次訪問Servlet1,當我點選javaweb的時候,已經能夠成功出現我買過的商品了。並且Session的id通過URL地址重寫,使用的是同一個Session
- URL地址重寫的原理:將Session的id資訊重寫到URL地址中。伺服器解析重寫後URL,獲取Session的id。這樣一來,即使瀏覽器禁用掉了Cookie,但Session的id通過伺服器端傳遞,還是可以使用Session來記錄使用者的狀態。
Session禁用Cookie
-
Java Web規範支援通過配置禁用Cookie
-
禁用自己專案的Cookie
- 在META-INF資料夾下的context.xml檔案中修改(沒有則建立)
<?xml version='1.0' encoding='utf-8'?> <Context path="/ouzicheng" cookies="false"> </Context> 複製程式碼 -
禁用全部web應用的Cookie
- 在conf/context.xml中修改
注意:該配置只是讓伺服器不能自動維護名為jsessionid的Cookie,並不能阻止Cookie的讀寫。
Session案例
使用Session完成使用者簡單登陸
- 先建立User類
private String username = null;
private String password = null;
public User() {
}
public User(String username, String password) {
this.username = username;
this.password = password;
}
....各種set、get方法
複製程式碼- 使用簡單的集合模擬一個資料庫
private static List<User> list = new ArrayList<>();
//裝載些資料進資料庫
static {
list.add(new User("aaa","111"));
list.add(new User("bbb","222"));
list.add(new User("ccc","333"));
}
//通過使用者名稱和密碼查詢使用者
public static User find(String username, String password) {
for (User user : list) {
if (user.getUsername().equals(username) && user.getPassword().equals(password)) {
return user;
}
}
return null;
}
複製程式碼- 表單提交的工作我就在jsp寫了,如果在Servlet寫太麻煩了!
<form action="/ouzicheng/LoginServlet" method="post">
使用者名稱:<input type="text" name="username"><br/>
密碼:<input type="password" name="password"><br/>
<input type="submit" value="提交">
</form>
複製程式碼- 獲取到表單提交的資料,查詢資料庫是否有相對應的使用者名稱和密碼。如果沒有就提示使用者名稱或密碼出錯了,如果有就跳轉到另外一個頁面
String username = request.getParameter("username");
String password = request.getParameter("password");
User user = UserDB.find(username, password);
//如果找不到,就是使用者名稱或密碼出錯了。
if (user == null) {
response.getWriter().write("you can't login");
return;
}
//標記著該使用者已經登陸了!
HttpSession httpSession = request.getSession();
httpSession.setAttribute("user", user);
//跳轉到其他頁面,告訴使用者成功登陸了。
response.sendRedirect(response.encodeURL("index.jsp"));
複製程式碼- 我們來試試下資料庫沒有的使用者名稱和密碼,提示我不能登陸。
- 試試資料庫存在的使用者名稱和密碼
利用Session防止表單重複提交
-
重複提交的危害:
- 在投票的網頁上不停地提交,實現了刷票的效果。
- 註冊多個使用者,不斷髮帖子,擾亂正常發帖秩序。
-
首先我們來看一下常見的重複提交。
- 在處理表單的Servlet中重新整理。
- 後退再提交
- 網路延遲,多次點選提交按鈕
-
下面的gif是後退再提交,在處理提交請求的Servlet中重新整理
-
下面的gif是網路延遲,多次點選提交按鈕
-
對於網路延遲造成的多次提交資料給伺服器,其實是客戶端的問題。於是,我們可以使用javaScript來防止這種情況
-
要做的事情也非常簡單:當使用者第一次點選提交按鈕時,把資料提交給伺服器。當使用者再次點選提交按鈕時,就不把資料提交給伺服器了。
-
監聽使用者提交事件。只能讓使用者提交一次表單!
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>表單提交</title>
<script type="text/javascript">
//定義一個全域性標識量:是否已經提交過表單資料
var isCommitted = false;
function doSubmit() {
//false表示的是沒有提交過,於是就可以讓表單提交給Servlet
if(isCommitted==false) {
isCommitted = true;
return true;
}else {
return false;
}
}
</script>
</head>
<body>
<form action="/ouzicheng/Servlet7" onsubmit="return doSubmit()">
使用者名稱:<input type="text" name="username">
<input type="submit" value="提交">
</form>
</body>
</html>
複製程式碼- 好的,我們來試一下是不是真的可以解決網路延遲所造成的多次提交表單資料,注意滑鼠,我已經點選過很多次的了!
-
由於網路延遲造成的多次提交資料給伺服器,我們還可以使用javaScript程式碼這樣解決:當我點選過一次提交按鈕時,我就把提交的按鈕隱藏起來。不能讓使用者點選了!
-
想要讓按鈕隱藏起來,也很簡單。只要獲取到按鈕的節點,就可以控制按鈕的隱藏或顯示了!
<script type="text/javascript">
function doSubmit() {
var button = document.getElementById("button");
button.disabled = disabled;
return true;
}
</script>
複製程式碼- 我們再來看一下效果
-
在處理表單的Servlet中重新整理和後退再提交這兩種方式不能只靠客戶端來限制了。也就是說javaScript程式碼無法阻止這兩種情況的發生。
-
於是乎,我們就想得用其他辦法來阻止表單資料重複提交了。我們現在學了Session,Session可以用來標識一個使用者是否登陸了。Session的原理也說了:不同的使用者瀏覽器會擁有不同的Session。而request和ServletContext為什麼就不行呢?request的域物件只能是一次http請求,提交表單資料的時候request域物件的資料取不出來。ServletContext代表整個web應用,如果有幾個使用者瀏覽器同時訪問,ServletContext域物件的資料會被多次覆蓋掉,也就是說域物件的資料就毫無意義了。
-
可能到這裡,我們會想到:在提交資料的時候,存進Session域物件的資料,在處理提交資料的Servlet中判斷Session域物件資料????。究竟判斷Session什麼?判斷Session域物件的資料不為null?沒用呀,既然已經提交過來了,那肯定不為null。
-
此時,我們就想到了,在表單中還有一個隱藏域,可以通過隱藏域把資料交給伺服器。
- 判斷Session域物件的資料和jsp隱藏域提交的資料是否對應。
- 判斷隱藏域的資料是否為空【如果為空,就是直接訪問表單處理頁面的Servlet】
- 判斷Session的資料是否為空【servlet判斷完是否重複提交,最好能立馬移除Session的資料,不然還沒有移除的時候,客戶端那邊兒的請求又來了,就又能匹配了,產生了重複提交。如果Session域物件資料為空,證明已經提交過資料了!】
-
我們向Session域物件的存入資料究竟是什麼呢?簡單的一個數字?好像也行啊。因為只要Session域物件的資料和jsp隱藏域帶過去的資料對得上號就行了呀,反正在Servlet上判斷完是否重複提交,會立馬把Session的資料移除掉的。更專業的做法是:向Session域物件存入的資料是一個隨機數【Token--令牌】。
-
生成一個獨一無二的隨機數
/*
* 產生隨機數就應該用一個物件來生成,這樣可以避免隨機數的重複。
* 所以設計成單例
* */
public class TokenProcessor {
private TokenProcessor() {
}
private final static TokenProcessor TOKEN_PROCESSOR = new TokenProcessor();
public static TokenProcessor getInstance() {
return TOKEN_PROCESSOR;
}
public static String makeToken() {
//這個隨機生成出來的Token的長度是不確定的
String token = String.valueOf(System.currentTimeMillis() + new Random().nextInt(99999999));
try {
//我們想要隨機數的長度一致,就要獲取到資料指紋
MessageDigest messageDigest = MessageDigest.getInstance("md5");
byte[] md5 = messageDigest.digest(token.getBytes());
//如果我們直接 return new String(md5)出去,得到的隨機數會亂碼。
//因為隨機數是任意的01010101010,在轉換成字串的時候,會查gb2312的碼錶,gb2312碼錶不一定支援該二進位制資料,得到的就是亂碼
//於是乎經過base64編碼成了明文的資料
BASE64Encoder base64Encoder = new BASE64Encoder();
return base64Encoder.encode(md5);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return null;
}
}
複製程式碼- 建立Token隨機數,並跳轉到jsp頁面
//生出隨機數
TokenProcessor tokenProcessor = TokenProcessor.getInstance();
String token = tokenProcessor.makeToken();
//將隨機數存進Session中
request.getSession().setAttribute("token", token);
//跳轉到顯示頁面
request.getRequestDispatcher("/login.jsp").forward(request, response);
複製程式碼- jsp隱藏域獲取到Session的值
<form action="/ouzicheng/Servlet7" >
使用者名稱:<input type="text" name="username">
<input type="submit" value="提交" id="button">
<%--使用EL表示式取出session中的Token--%>
<input type="hidden" name="token" value="${token}" >
</form>
複製程式碼- 在處理表單提交頁面中判斷:jsp隱藏域是否有值帶過來,Session中的值是否為空,Session中的值和jsp隱藏域帶過來的值是否相等
String serverValue = (String) request.getSession().getAttribute("token");
String clientValue = request.getParameter("token");
if (serverValue != null && clientValue != null && serverValue.equals(clientValue)) {
System.out.println("處理請求");
//清除Session域物件資料
request.getSession().removeAttribute("token");
}else {
System.out.println("請不要重複提交資料!");
}
複製程式碼- 下面我們再來看一下,已經可以解決表單重複提交的問題了!
實現原理是非常簡單的:
- 在session域中儲存一個token
- 然後前臺頁面的隱藏域獲取得到這個token
- 在第一次訪問的時候,我們就判斷seesion有沒有值,如果有就比對。對比正確後我們就處理請求,接著就把session儲存的資料給刪除了
- 等到再次訪問的時候,我們session就沒有值了,就不受理前臺的請求了!
一次性校驗碼
-
一次性校驗碼其實就是為了防止暴力猜測密碼
-
在講response物件的時候,我們使用response物件輸出過驗證碼,但是沒有去驗證!
-
驗證的原理也非常簡單:生成驗證碼後,把驗證碼的資料存進Session域物件中,判斷使用者輸入驗證碼是否和Session域物件的資料一致。
-
生成驗證碼圖片,並將驗證碼存進Session域中
//在記憶體中生成圖片
BufferedImage bufferedImage = new BufferedImage(80, 20, BufferedImage.TYPE_INT_RGB);
//獲取到這張圖片
Graphics2D graphics2D = (Graphics2D) bufferedImage.getGraphics();
//設定背景色為白色
graphics2D.setColor(Color.white);
graphics2D.fillRect(0, 0, 80, 20);
//設定圖片的字型和顏色
graphics2D.setFont(new Font(null, Font.BOLD, 20));
graphics2D.setColor(Color.BLUE);
//生成隨機數
String randomNum = makeNum();
//往這張圖片上寫資料,橫座標是0,縱座標是20
graphics2D.drawString(randomNum, 0, 20);
//將隨機數存進Session域中
request.getSession().setAttribute("randomNum", randomNum);
//控制瀏覽器不快取該圖片
response.setHeader("Expires", "-1");
response.setHeader("Cache-Control", "no-cache");
response.setHeader("Pragma", "no-cache");
//通知瀏覽器以圖片的方式開啟
response.setHeader("Content-type", "image/jpeg");
//把圖片寫給瀏覽器
ImageIO.write(bufferedImage, "jpg", response.getOutputStream());
複製程式碼- 生成隨機數的方法:
private String makeNum() {
Random random = new Random();
//生成0-6位的隨機數
int num = random.nextInt(999999);
//驗證碼的數位全都要6位數,於是將該隨機數轉換成字串,不夠位數就新增
String randomNum = String.valueOf(num);
//使用StringBuffer來拼湊字串
StringBuffer stringBuffer = new StringBuffer();
for (int i = 0; i < 6 - randomNum.length(); i++) {
stringBuffer.append("0");
}
return stringBuffer.append(randomNum).toString();
}
複製程式碼- jsp顯示頁面
<form action="/ouzicheng/Login2Servlet">
使用者名稱:<input type="text" name="username"><br>
密碼:<input type="password" name="password"><br>
驗證碼:<input type="text" name="randomNum">
<img src="/ouzicheng/ImageServlet" ><br><br>
<input type="submit" value="提交">
</form>
複製程式碼- 處理提交表單資料的Servlet,判斷使用者帶過來驗證碼的資料是否和Session的資料相同。
//獲取使用者輸入驗證碼的資料
String client_randomNum = request.getParameter("randomNum");
//獲取Session中的資料
String session_randomNum = (String) request.getSession().getAttribute("randomNum");
//判斷他倆資料是否相等,使用者是否有輸入驗證碼,Session中是否為空
if (client_randomNum == null || session_randomNum == null || !client_randomNum.equals(session_randomNum)) {
System.out.println("驗證碼錯誤了!!!");
return ;
}
//下面就是驗證使用者名稱和密碼...................
複製程式碼- 顯示頁面是這樣子的
- 我們來看一下效果!
對於校驗碼實現思路是這樣子的:
- 使用awt語法來描寫一張驗證碼,生成隨機數儲存在seesion域中,我們讓驗證碼不能快取起來【做到驗證碼都不一樣】
- 頁面直接訪問Servlet來獲取我們的驗證碼,於是我們驗證碼的值就會改變【同時session的值也會被改變】
- 當使用者驗證的時候,就是session內的值的驗證了。
Session和Cookie的區別
-
從儲存方式上比較
- Cookie只能儲存字串,如果要儲存非ASCII字串還要對其編碼。
- Session可以儲存任何型別的資料,可以把Session看成是一個容器
-
從隱私安全上比較
- Cookie儲存在瀏覽器中,對客戶端是可見的。資訊容易洩露出去。如果使用Cookie,最好將Cookie加密
- Session儲存在伺服器上,對客戶端是透明的。不存在敏感資訊洩露問題。
-
從有效期上比較
- Cookie儲存在硬碟中,只需要設定maxAge屬性為比較大的正整數,即使關閉瀏覽器,Cookie還是存在的
- Session的儲存在伺服器中,設定maxInactiveInterval屬性值來確定Session的有效期。並且Session依賴於名為JSESSIONID的Cookie,該Cookie預設的maxAge屬性為-1。如果關閉了瀏覽器,該Session雖然沒有從伺服器中消亡,但也就失效了。
-
從對伺服器的負擔比較
- Session是儲存在伺服器的,每個使用者都會產生一個Session,如果是併發訪問的使用者非常多,是不能使用Session的,Session會消耗大量的記憶體。
- Cookie是儲存在客戶端的。不佔用伺服器的資源。像baidu、Sina這樣的大型網站,一般都是使用Cookie來進行會話跟蹤。
-
從瀏覽器的支援上比較
- 如果瀏覽器禁用了Cookie,那麼Cookie是無用的了!
- 如果瀏覽器禁用了Cookie,Session可以通過URL地址重寫來進行會話跟蹤。
-
從跨域名上比較
- Cookie可以設定domain屬性來實現跨域名
- Session只在當前的域名內有效,不可誇域名
Cookie和Session共同使用
-
如果僅僅使用Cookie或僅僅使用Session可能達不到理想的效果。這時應該嘗試一下同時使用Session和Cookie
-
那麼,什麼時候才需要同時使用Cookie和Session呢?
-
在上一篇部落格中,我們使用了Session來進行簡單的購物,功能也的確實現了。現在有一個問題:我在購物的途中,不小心關閉了瀏覽器。當我再返回進去瀏覽器的時候,發現我購買過的商品記錄都沒了!!為什麼會沒了呢?原因也非常簡單:伺服器為Session自動維護的Cookie的maxAge屬性預設是-1的,當瀏覽器關閉掉了,該Cookie就自動消亡了。當使用者再次訪問的時候,已經不是原來的Cookie了。
-
我們現在想的是:即使我不小心關閉了瀏覽器了,我重新進去網站,我還能找到我的購買記錄。
-
要實現該功能也十分簡單,問題其實就在:伺服器為Session自動維護的Cookie的maxAge屬性是-1,Cookie沒有儲存在硬碟中。我現在要做的就是:把Cookie儲存在硬碟中,即使我關閉了瀏覽器,瀏覽器再次訪問頁面的時候,可以帶上Cookie,從而伺服器識別出Session。
-
**第一種方式:**只需要在處理購買頁面上建立Cookie,Cookie的值是Session的id返回給瀏覽器即可
Cookie cookie = new Cookie("JSESSIONID",session.getId());
cookie.setMaxAge(30*60);
cookie.setPath("/ouzicheng/");
response.addCookie(cookie);
複製程式碼-
第二種方式: 在server.xml檔案中配置,將每個使用者的Session在伺服器關閉的時候序列化到硬碟或資料庫上儲存。但此方法不常用,知道即可!
-
下面看一下效果
如果文章有錯的地方歡迎指正,大家互相交流。習慣在微信看技術文章的同學,可以關注微信公眾號:Java3y