Servlet Cookie、Session
HTTP不能保持連線,可使用會話儲存使用者資訊。
常用的會話技術有2種:Cookie、Session。
Cookie
1、原理
當用戶第一次訪問某個網站時,伺服器設定Cookie,儲存使用者資訊,放在響應頭欄位中,隨HTTP響應傳給瀏覽器,瀏覽器把Cookie儲存到本地計算機上。
當用戶再次訪問該網站時,瀏覽器先在本地計算機上查詢該網站的Cookie,如果有,放在請求頭中,隨HTTP請求一起傳送給該網站的伺服器。伺服器解析Cookie,獲取該使用者的資訊,進行相關操作。
伺服器可重新設定Cookie,隨HTTP響應傳遞給瀏覽器,由瀏覽器更新本地的cookie。
2、常用方法
- Cookie(String name, String value) //建構函式,name、value均為String。建立一個Cookie後,它的name不能被更改。
- Cookie[] cookies = request.getCookies(); //獲取請求頭中的所有Cookie
- void setValue(String value) //Cookie的name不能被修改,所以沒有setName()方法
- void setMaxAge(int expiry) //設定此Cookie的有效期,從當前時間起,在瀏覽器上多少秒內有效。
預設時預設只在本次會話期間有效,當我們關閉此瀏覽器時,會話結束,此Cookie失效,注意是關閉瀏覽器整個程式,不是關閉瀏覽器某個視窗。
為0時,瀏覽器會立即清除此Cookie。
為負整數時,此Cookie只在本次會話期間有效。
- void setPath(String url) //設定此Cookie的作用頁面。預設時預設只對當前頁面所在目錄有效。
比如包servlet下有一個LoginServlet,我在LoginServlet中設定了一個Cookie,如果不給這個Cookie設定path,則預設此Cookie只在servlet包中有效(servlet包下的所有頁面均可使用此Cookie)。設定為全站可用:cookie.setPath("/"),本站所有頁面均可使用此Cookie。
這個不常用,因為Cookie一般都是作用於當前網站。
- void setDomain(String domain) //設定此Cookie作用的網站(隸屬於哪個網站),預設時預設為當前網站。
瀏覽器訪問一個url之前,會先根據url中的domain查詢本地計算機上所有屬於該domain的Cookie,把這些Cookie都加到請求頭中,傳送給該網站的伺服器。
比如我設定一個Cookie的domain為百度: cookie.setDomain(".baidu.com"); (需要去掉www)
瀏覽器訪問百度這個網站上的頁面時,會把此Cookie新增到請求頭中,隨請求一同傳送給百度的伺服器。
- response.addCookie(Cookie cookie); //把一個Cookie新增到響應頭中,這樣Cookie才會被傳遞給瀏覽器。
- String getName()
- String getValue()
- String getMaxAge()
- String getPath()
- String getDomain()
3、使用示例
1 @WebServlet("/testServlet")
2 public class TestServlet extends HttpServlet {
3 protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
4 doGet(request,response);
5 }
6
7 protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
8 request.setCharacterEncoding("utf-8");
9 response.setContentType("text/html;charset=utf-8");
10 PrintWriter writer = response.getWriter();
11
12 String name=null;
13 Cookie[] cookies = request.getCookies();
14 if(cookies!=null){
15 for(int i=0;i<cookies.length;i++){
16 if(cookies[i].getName().equals("name")){ //獲取使用者名稱
17 name = cookies[i].getValue();
18 writer.write(cookies[i].getValue()+",你好!");
19 }
20 }
21 }
22 if(name==null){
23 writer.write("請先登入,3秒後將自動跳轉到登入頁面");
24 response.setHeader("refresh","3;url=./login.jsp");
25 }
26
27
28 }
29 }
1 String name="chy"; //註冊|登入成功後,從表單獲取使用者資訊,儲存到Cookie中。這裡只是模擬獲取到的使用者名稱。
2 Cookie cookie=new Cookie("name",name);
3 cookie.setMaxAge(60*60*24*365); //一年有效
4 cookie.setPath("/"); //全站可用,本站的所有頁面都可以使用此Cookie獲取使用者名稱
5 response.addCookie(cookie); //需要新增到response中才會生效。如果要設定、更新多個Cookie,需要一個一個地新增
4、在Chrome中檢視當前網站Cookie的4種方式
(1)點選位址列中的帶圈的i或者小鎖
小鎖表示此網站是安全的,帶圈的i表示此網站是不安全的。
點選某個Cookie,再點刪除,可刪除該Cookie。
點選該網站的域名,再點刪除,會刪除該網站所有的Cookie。
點選該網站的域名,再點禁止,該網站不能在此計算機上儲存Cookie(瀏覽器會自動刪除該網站已儲存的Cookie)。
(2)f12 -> Application -> Storage -> Cookies
(3)f12 -> Console -> 輸入 document.cookie 可檢視本網站所有的Cookie,輸入 document.cookie="" 即可修改Cookie。
這種方式設定的是整個網站的Cookie,不是某個Cookie。所以一般是把document.cookie得到的值複製下來,修改裡面的某些Cookie,然後以字串的形式賦給document.cookie。
(4)設定 -> 高階 -> 隱私設定和安全性 -> 網站設定 -> Cookie -> 檢視所有Cookie和網站資料
說明
- Cookie由瀏覽器自己儲存,各瀏覽器之間不共享Cookie。
比如我在Chrome中打開了某網站,該網站在Chrome中儲存了Cookie,這些Cookie算是Chrome的私有資料,其它瀏覽器讀取不到(不會共享給其它瀏覽器)。
- 有時,瀏覽器會自動給一些網站設定一些額外的Cookie,比如_ga,_gid。
Session
1、原理
使用Cookie把會話資訊儲存在瀏覽器上,每次HTTP請求都要把Cookie新增到請求頭中,伺服器要從request中逐一解析Cookie,如果Cookie很多,速度會很慢。
Session是把會話資訊儲存在伺服器上記憶體中,使用SessionId來唯一標識會話資訊。把SessionId作為Cookie儲存到瀏覽器上,瀏覽器訪問頁面時,會自動把該網站的SessionID這個Cookie新增到請求頭中,隨HTTP請求傳送給伺服器。伺服器根據SessionId調取相應的Session,獲取會話資訊。
2、超時管理
當瀏覽器第一次訪問該網站時,該網站的伺服器上會建立一個Session物件來儲存會話資訊。
但伺服器不知道瀏覽器會不會還會再次訪問伺服器,這個Session還要不要保留。如果一直保留,伺服器上的Session物件會越來越多,最終耗盡伺服器記憶體。
伺服器可以設定超時時間,tomcat -> conf ->web.xml -> <session-config>:
<!-- ==================== Default Session Configuration ================= -->
<!-- You can set the default session timeout (in minutes) for all newly -->
<!-- created sessions by modifying the value below. -->
<session-config>
<session-timeout>30</session-timeout>
</session-config>
預設為30分鐘。如果30分鐘內,該Session沒有被使用,(客戶端沒有再次訪問),伺服器會自動清除該Session,原來的會話資訊丟失。
之後瀏覽器再次訪問伺服器時,request中有SessionId,但伺服器上沒有對應的Session物件,伺服器會自動建立一個新的Session物件,把新的SessionId新增到響應頭中,覆蓋掉瀏覽器中原來的SessionId。
3、HttpSession的常用方法
- HttpSession request.getSession(true) //從request中獲取HttpSession物件。引數是一個boolean,表示request沒有獲取到HTTPSession物件怎麼處理,true——自動建立並返回一個HttpSession物件,false——不自動建立,直接返回null。
- HttpSession request.getSession() //從request中獲取HttpSession物件,如果不存在,則自動建立並返回。一般用這個。
這2個方法的執行過程(第一個的引數為true):
從遍歷request中的Cookie,找到JSESSIONID這個Cookie,獲取值(SessionId),根據值獲取伺服器記憶體中相應的Session物件,並返回這個Session物件。
如果沒有獲取到Session物件(首次訪問或Session超時已被清除),則自動建立一個新的Session物件並返回,建立新的Session物件時,會產生一個新的SessionId,伺服器會自動把這個SessionId作為Cookie新增到響應頭中。
- String session.getId() //獲取建立新Session時產生的SessionId。
- session.setAttribute(String name, Object value) //往指定Session中儲存資料
- Object session.getAttribute(String name)
- void session.removeAttribute(String name)
- void session.invalidate() //強制使此Session物件失效,會刪除此Session物件。除了等超時管理的時間到使Session失效,還可以用此方法使Session立刻失效。
4、使用示例
HttpSession session = request.getSession();
session.setAttribute("name","張三");
如果request中沒有SessionId,或者request中有SessionId,但伺服器記憶體中沒有對應的Session(Session超時被清除),那麼伺服器會自動建立Session,並會自動建立 Cookie cookie=new Cookie("JSESSIONID",session.getId()) 這個Cookie,把這個cookie新增到響應頭傳回給瀏覽器,儲存到客戶端計算機上。
有一個問題:這個Cookie沒有顯式設定有效期,預設本次會話結束時Cookie失效。如果中途把瀏覽器關了,沒到超時時間(Tomcat預設為30min),伺服器上Session仍在,但儲存SessionId的Cookie已經失效了,伺服器從request中讀取不到SessionId,也就找不到對應的Session。就是說如果中途關閉瀏覽器,會話資訊會丟失。
解決方式:顯式設定Cookie的有效期。
HttpSession session = request.getSession();
Cookie cookie=new Cookie("JSESSIONID",session.getId()); //name要用JSESSIONID,J表示Java
cookie.setMaxAge(60*60*24*365); //顯式設定SessionId的有效期
response.addCookie(cookie); //此句程式碼儘量靠前(早點新增到響應訊息頭中)
PrintWriter writer = response.getWriter();
這樣,訪客中途關掉瀏覽器,再次開啟瀏覽器進行訪問時,會話資訊依然在。
HttpSession session = request.getSession();
String name =(String) session.getAttribute("name"); //返回值是Object
&n