HTTP不能保持連接,可使用會話保存用戶信息。 常用的會話技術有2種:Cookie、Session。 Cookie 1、原理 當用戶第一次訪問某個網站時,伺服器設置Cookie,存儲用戶信息,放在響應頭欄位中,隨HTTP響應傳給瀏覽器,瀏覽器把Cookie存儲到本地電腦上。 當用戶再次訪問該網站時 ...
HTTP不能保持連接,可使用會話保存用戶信息。
常用的會話技術有2種:Cookie、Session。
Cookie
1、原理
當用戶第一次訪問某個網站時,伺服器設置Cookie,存儲用戶信息,放在響應頭欄位中,隨HTTP響應傳給瀏覽器,瀏覽器把Cookie存儲到本地電腦上。
當用戶再次訪問該網站時,瀏覽器先在本地電腦上查找該網站的Cookie,如果有,放在請求頭中,隨HTTP請求一起發送給該網站的伺服器。伺服器解析Cookie,獲取該用戶的信息,進行相關操作。
伺服器可重新設置Cookie,隨HTTP響應傳遞給瀏覽器,由瀏覽器更新本地的cookie。
2、常用方法
- Cookie(String name, String value) //構造函數,name、value均為String。創建一個Cookie後,它的name不能被更改。
- Cookie[] cookies = request.getCookies(); //獲取請求頭中的所有Cookie
- void setValue(String value) //Cookie的name不能被修改,所以沒有setName()方法
- void setMaxAge(int expiry) //設置此Cookie的有效期,從當前時間起,在瀏覽器上多少秒內有效。
預設時預設只在本次會話期間有效,當我們關閉此瀏覽器時,會話結束,此Cookie失效,註意是關閉瀏覽器整個程式,不是關閉瀏覽器某個視窗。
為0時,瀏覽器會立即清除此Cookie。
為負整數時,此Cookie只在本次會話期間有效。
- void setPath(String url) //設置此Cookie的作用頁面。預設時預設只對當前頁面所在目錄有效。
比如包servlet下有一個LoginServlet,我在LoginServlet中設置了一個Cookie,如果不給這個Cookie設置path,則預設此Cookie只在servlet包中有效(servlet包下的所有頁面均可使用此Cookie)。設置為全站可用:cookie.setPath("/"),本站所有頁面均可使用此Cookie。
這個不常用,因為Cookie一般都是作用於當前網站。
- void setDomain(String domain) //設置此Cookie作用的網站(隸屬於哪個網站),預設時預設為當前網站。
瀏覽器訪問一個url之前,會先根據url中的domain查找本地電腦上所有屬於該domain的Cookie,把這些Cookie都加到請求頭中,發送給該網站的伺服器。
比如我設置一個Cookie的domain為百度: cookie.setDomain(".baidu.com"); (需要去掉www)
瀏覽器訪問百度這個網站上的頁面時,會把此Cookie添加到請求頭中,隨請求一同發送給百度的伺服器。
- response.addCookie(Cookie cookie); //把一個Cookie添加到響應頭中,這樣Cookie才會被傳遞給瀏覽器。
- String getName()
- String getValue()
- String getMaxAge()
- String getPath()
- String getDomain()
3、使用示例
1 @WebServlet("/testServlet") 2 public class TestServlet extends HttpServlet { 3 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 4 doGet(request,response); 5 } 6 7 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { 8 request.setCharacterEncoding("utf-8"); 9 response.setContentType("text/html;charset=utf-8"); 10 PrintWriter writer = response.getWriter(); 11 12 String name=null; 13 Cookie[] cookies = request.getCookies(); 14 if(cookies!=null){ 15 for(int i=0;i<cookies.length;i++){ //用增強的for迴圈寫遍歷更簡單 16 if(cookies[i].getName().equals("name")){ //獲取用戶名 17 name = cookies[i].getValue(); 18 writer.write(cookies[i].getValue()+",你好!"); 19 } 20 } 21 } 22 if(name==null){ 23 writer.write("請先登錄,3秒後將自動跳轉到登錄頁面"); 24 response.setHeader("refresh","3;url=./login.jsp"); 25 } 26 27 28 } 29 }
1 String name="chy"; //註冊|登錄成功後,從表單獲取用戶信息,存儲到Cookie中。這裡只是模擬獲取到的用戶名。 2 Cookie cookie=new Cookie("name",name); 3 cookie.setMaxAge(60*60*24*365); //一年有效 4 cookie.setPath("/"); //全站可用,本站的所有頁面都可以使用此Cookie獲取用戶名 5 response.addCookie(cookie); //需要添加到response中才會生效。如果要設置、更新多個Cookie,需要一個一個地添加
4、在Chrome中查看當前網站Cookie的4種方式
(1)點擊地址欄中的帶圈的i或者小鎖
小鎖表示此網站是安全的,帶圈的i表示此網站是不安全的。
點擊某個Cookie,再點刪除,可刪除該Cookie。
點擊該網站的功能變數名稱,再點刪除,會刪除該網站所有的Cookie。
點擊該網站的功能變數名稱,再點禁止,該網站不能在此電腦上存儲Cookie(瀏覽器會自動刪除該網站已存儲的Cookie)。
(2)f12 -> Application -> Storage -> Cookies
(3)f12 -> Console -> 輸入 document.cookie 可查看本網站所有的Cookie,輸入 document.cookie="" 即可修改Cookie。
這種方式設置的是整個網站的Cookie,不是某個Cookie。所以一般是把document.cookie得到的值複製下來,修改裡面的某些Cookie,然後以字元串的形式賦給document.cookie。
(4)設置 -> 高級 -> 隱私設置和安全性 -> 網站設置 -> Cookie -> 查看所有Cookie和網站數據
說明
- Cookie由瀏覽器自己存儲,各瀏覽器之間不共用Cookie。
比如我在Chrome中打開了某網站,該網站在Chrome中存儲了Cookie,這些Cookie算是Chrome的私有數據,其它瀏覽器讀取不到(不會共用給其它瀏覽器)。
- 有時,瀏覽器會自動給一些網站設置一些額外的Cookie,比如_ga,_gid。
Session
1、原理
使用Cookie把會話信息保存在瀏覽器上,每次HTTP請求都要把Cookie添加到請求頭中,伺服器要從request中逐一解析Cookie,如果Cookie很多,速度會很慢。
Session是把會話信息保存在伺服器上記憶體中,使用SessionId來唯一標識會話信息。把SessionId作為Cookie保存到瀏覽器上,瀏覽器訪問頁面時,會自動把該網站的SessionID這個Cookie添加到請求頭中,隨HTTP請求發送給伺服器。伺服器根據SessionId調取相應的Session,獲取會話信息。
2、超時管理
當瀏覽器第一次訪問該網站時,該網站的伺服器上會創建一個Session對象來存儲會話信息。
但伺服器不知道瀏覽器會不會還會再次訪問伺服器,這個Session還要不要保留。如果一直保留,伺服器上的Session對象會越來越多,最終耗盡伺服器記憶體。
伺服器可以設置超時時間,tomcat -> conf ->web.xml -> <session-config>:
<!-- ==================== Default Session Configuration ================= --> <!-- You can set the default session timeout (in minutes) for all newly --> <!-- created sessions by modifying the value below. --> <session-config> <session-timeout>30</session-timeout> </session-config>
預設為30分鐘。如果30分鐘內,該Session沒有被使用,(客戶端沒有再次訪問),伺服器會自動清除該Session,原來的會話信息丟失。
之後瀏覽器再次訪問伺服器時,request中有SessionId,但伺服器上沒有對應的Session對象,伺服器會自動創建一個新的Session對象,把新的SessionId添加到響應頭中,覆蓋掉瀏覽器中原來的SessionId。
3、HttpSession的常用方法
- HttpSession request.getSession(true) //從request中獲取HttpSession對象。參數是一個boolean,表示request沒有獲取到HTTPSession對象怎麼處理,true——自動創建並返回一個HttpSession對象,false——不自動創建,直接返回null。
- HttpSession request.getSession() //從request中獲取HttpSession對象,如果不存在,則自動創建並返回。一般用這個。
這2個方法的執行過程(第一個的參數為true):
從遍歷request中的Cookie,找到JSESSIONID這個Cookie,獲取值(SessionId),根據值獲取伺服器記憶體中相應的Session對象,並返回這個Session對象。
如果沒有獲取到Session對象(首次訪問或Session超時已被清除),則自動創建一個新的Session對象並返回,創建新的Session對象時,會產生一個新的SessionId,伺服器會自動把這個SessionId作為Cookie添加到響應頭中。
- String session.getId() //獲取創建新Session時產生的SessionId。
- session.setAttribute(String name, Object value) //往指定Session中存儲數據
- Object session.getAttribute(String name)
- void session.removeAttribute(String name)
- void session.invalidate() //強制使此Session對象失效,會刪除此Session對象。除了等超時管理的時間到使Session失效,還可以用此方法使Session立刻失效。
4、使用示例
HttpSession session = request.getSession();
session.setAttribute("name","張三");
如果request中沒有SessionId,或者request中有SessionId,但伺服器記憶體中沒有對應的Session(Session超時被清除),那麼伺服器會自動創建Session,並會自動創建 Cookie cookie=new Cookie("JSESSIONID",session.getId()) 這個Cookie,把這個cookie添加到響應頭傳回給瀏覽器,保存到客戶端電腦上。
有一個問題:這個Cookie沒有顯式設置有效期,預設本次會話結束時Cookie失效。如果中途把瀏覽器關了,沒到超時時間(Tomcat預設為30min),伺服器上Session仍在,但保存SessionId的Cookie已經失效了,伺服器從request中讀取不到SessionId,也就找不到對應的Session。就是說如果中途關閉瀏覽器,會話信息會丟失。
解決方式:顯式設置Cookie的有效期。
HttpSession session = request.getSession(); Cookie cookie=new Cookie("JSESSIONID",session.getId()); //name要用JSESSIONID,J表示Java cookie.setMaxAge(60*60*24*365); //顯式設置SessionId的有效期 response.addCookie(cookie); //此句代碼儘量靠前(早點添加到響應消息頭中) PrintWriter writer = response.getWriter();
這樣,訪客中途關掉瀏覽器,再次打開瀏覽器進行訪問時,會話信息依然在。
HttpSession session = request.getSession(); String name =(String) session.getAttribute("name"); //返回值是Object
