Java cookie和session会话技术介绍

http无状态协议的解决：

HTTP 是一种无状态协议。 无状态协议不要求服务器在多次请求期间保留有关每个用户的信息或状态。

但是某些 Web 应用程序可能必须跟踪用户从一个页面到另一个页面的进度，例如，当需要 Web 服务器为用户自定义网页内容时。 这些情况的解决方案包括：

• HTTP cookie 的使用。

• 服务器端会话。

• 隐藏变量（当当前页面包含表单时）

• 使用 URI 编码参数的 URL 重写，例如，/index.php?session_id=some_unique_session_code。

使协议无状态的原因是服务器不需要跟踪多个请求的状态，而不是它如果愿意就不能这样做。 这简化了客户端和服务器之间的合同，并且在许多情况下（例如通过 CDN 提供静态数据）最大限度地减少了需要传输的数据量。 如果要求服务器维护客户端访问的状态，则发出和响应请求的结构将更加复杂。 事实上，模型的简单性是其最大的特点之一。

一、cookie

1、cookie的概念

cookie是一种在服务器中创建并维护，但是保存在浏览器端的会话技术

cookie的应用场景：记住用户名和密码、七天免登陆

2、cookie的创建

//创建cookie
Cookie cookie = new Cookie("username", "admin");
//将cookie响应到浏览器
response.addCookie(cookie);

cookie在报文中的表示方式：

若在服务器中创建cookie，并响应到浏览器，此时在响应报文中会出现：Set-Cookie: username=admin

此后，每次浏览器向服务器发送请求，都会携带此cookie，在请求报文中会出现：Cookie: username=admin

把cookie响应到浏览器之后，会保存在浏览器的运行内存中，当浏览器关闭时，浏览器的运行内存会被释放，因此cookie会被清空。因此会话默认的有效时间就是浏览器开启到浏览器关闭

3、获取cookie

//获取浏览器发送请求所携带的所有cookie
Cookie[] cookies = request.getCookies();
if(cookies != null){
   for (Cookie cookie : cookies) {
       System.out.println(cookie.getName() + "," + cookie.getValue());
   }
}

4、修改cookie

a>因为cookie是键值对格式的数据，因此只需要创建相同的键不同的值的cookie，响应浏览器，就会将相对应的cookie的值进行覆盖

b>使用cookie.setValue()

/*Cookie cookie = new Cookie("username", "root");
response.addCookie(cookie);*/
Cookie[] cookies = request.getCookies();
if(cookies != null){
   for (Cookie cookie : cookies) {
       if(cookie.getName().equals("username")){
           cookie.setValue("zhangsan");
           response.addCookie(cookie);
       }
   }
}

5、设置cookie的有效时间

把cookie响应到浏览器之后，会保存在浏览器的运行内存中，当浏览器关闭时，浏览器的运行内存会被释放，因此cookie会被清空。因此会话默认的有效时间就是浏览器开启到浏览器关闭

但是可以通过cookie.setMaxAge()设置cookie的有效时间

a>当设置的有效时间为负整数时，没有任何效果，即有效时间为浏览器开启到浏览器关闭

b>当设置的有效时间为0时，表示立即删除该cookie

c>当设置的有效时间为正整数时

若有效时间小于一次会话，cookie到了指定时间，就会自动从运行内存中删除

若有效时间大于一次会话，当浏览器关闭，会将cookie中的数据保存到磁盘中，当浏览器再次开启时，会将磁盘中的数据重新加载到运行内存中

6、设置cookie的有效路径

cookie.setPath();

当创建了cookie，并响应到浏览器之后，设置了有效路径的cookie，只有在访问指定路径时才会携带该cookie

二、session

1、session的概念

session是一种在服务器中创建并维护并保存在服务器端的会话技术

session的应用场景：记录用户的登录状态

2、观察获取session时的报文变化情况

通过request.getSession()获取session对象

当此次会话中第一次访问request.getSession()获取session对象时，响应报文中会出一个键为JSESSIONID的cookie

之后每次通过浏览器发送请求到服务器，都会携带此JSESSIONID的cookie

哪怕访问服务器时，使用的request.getSession()再次获取session对象，只要请求报文中有JSESSIONID的cookie，响应报文中就不会再出现此cookie

3、session的原理

问：

session的原理？

session和cookie的关系？

为什么在一次会话中，获取的session都是同一个？

答：

当通过request.getSession()获取session时，会获取请求报文中键为JSESSIONID的cookie

若请求报文中没有键为JSESSIONID的cookie，此时表示当前的会话刚刚开始，是当前会话中第一次获取session对象。此时在服务器内部会创建session对象，并且会创建一个cookie，键为JSESSIONID，值为UUID随机序列；然后会将创建session对象存储到一个由服务器所维护的map集合中，以UUID随机序列为键，以session对象为值，最终将JSESSIONID的cookie响应到浏览器

若请求报文中存在键为JSESSIONID的cookie，此时获取该cookie的值，即UUID随机序列，以UUID随机序列为键，从服务器所维护的map集合中就可以获取唯一的session对象

4、session的常用方法

4.1、session存在域对象的数据

void setAttribute(String name, Object value);

Object getAttribute(String name);

void removeAttribute(String name);

4.2、设置session的时效

session的时效指在指定时间内，若没有对session进行任何的操作，此时session会自动失效

a>通过web.xml设置，单位是分钟

<session-config>
   <session-timeout>30</session-timeout>
</session-config>

b>通过session.setMaxInactiveInterval()设置，单位是秒

session.setMaxInactiveInterval(1800);

4.3、强制使session失效

session.invalidate()

5、session的钝化和活化

session的钝化指服务器关闭，但是浏览器没有关闭，此时session中的数据会被序列化到磁盘上

session的活化指服务器启动，并且浏览器仍然没有关闭，此时会将序列化到磁盘上的数据重新加载到内存中

注意：若session中存储的是实体类对象，此时若要钝化，则该实体类和该实体类的成员变量也都要实现序列化的接口

三、cookie和session的区别

1、cookie存储在浏览器端，session存储在服务器端，因此cookie相对而言不安全

2、cookie只能存储字符串类型的键值对，session可以存储任意类型的数据，因此若存储相同的数据，cookie可能会产生大量的cookie

3、由于每次浏览器发送请求都会携带cookie，若有大量的cookie，就会造成网络负担

来源：https://blog.csdn.net/qq_52370789/article/details/129939733