前言
本文为JavaWeb基础Cookie 和 Session相关知识详细介绍,**Java全栈学习路线可参考:**[【Java全栈学习路线】最全的Java学习路线及知识清单,Java自学方向指引](https://blog.csdn.net/qq_42146402/article/details/127133435),内含最全Java全栈学习技术清单
一、关于 Http 无状态的理解
什么 Http 无状态:
服务器不会保留客户端交易的任何状态和数据,一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接,这就意味着服务器无法从连接上跟踪会话。也就是指用户每次发起的请求之间是没有相关性的,每次的请求结束就结束了,不会在做任何数据的存储。
Http 请求的无状态带来的问题和影响:
比如用户登录以后切换到别的界面进行操作,服务器端根本无法判别是哪个用户登录的,每次进行页面跳转的时候都要重新登录。
如何解决 Http 请求的无状态的问题:
1:Session(服务器端)
2:Cookie(客户端)
3:Html5 中:window.localStorage(客户端)
4:Jwt + Token 机制(客户端)
所以 Session、Cookie 并不是 Http 协议自身的技术点,而是 Java 语言为了弥补 Http 无状态的问题而产生成的一种技术机制。
二、解决 Http 无状态的问题
如果要解决 Http 无状态的问题,无外乎就是在服务器端或客户端存储数据信息。
服务器端存储数据信息的方式:
1:数组:Object[] obj = new Object[10000],数组长度固定,无法扩容,开小不够,开大浪费内存空间,不合适。
2:集合:ArrayList,查找速度很慢,时间复杂度为 O(n),不合适。
3:Map:数组 + 链接,时间复杂度为 Q(1),最佳选择方案。
客户端存储数据信息的方式:
Cookie 或 Storage。
完整交互:
服务器端把用户登录的信息存储到浏览器的 Cookie 或 Storage 中并分配给浏览器一个唯一 key,然后以 Cookie的形式发送到浏览器,后续用户通过浏览器请求访问其他页面或发起请求时都携带这个 Cookie,就可以得知用户已经登录,而这个 key 就是Session。
存在的问题:
1:key 是暴露出来的,不安全。
2:如何保证用户登录以及失效的问题。
解决方案:
1:把 key 从参数移除,放到请求头中进行传输。
2:心跳检测(守护线程),一直在监听 map 的 key 创建的时机,和用户最后一次访问的时间比较,如果这个时间超过 30
分钟,就直接在服务器上自动删除 key。一是考虑到服务器的内存消耗,二是考虑到保护用户信息的安全性。
三、Session的介绍与使用
1.Session简介
Session:在计算机中,尤其是在网络应用中,称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。
Session数据存储在服务器端,存储的类型是没有限制的,包括且不限于string,integer,list,map等
session存储在服务器上,对客户端是透明的,不存在敏感信息泄漏的风险
Session用于存储一次会话的多次请求的数据,存在服务器端
Session不支持跨域名访问
2.Session的使用
(1)服务端编写一个首页的 Servlet 类来存放 Session。
@WebServlet("/page/index") public class IndexServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { // request.setAttribute("username","yykk"); HttpSession session = request.getSession(); session.setAttribute("username","yykksession"); request.getRequestDispatcher("/index.jsp").forward(request,response); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } }
(2)客户端浏览器会把这个 sessionid 写入到浏览器的 Cookie 中进行存放,方便后续的每个请求都携带这个 sessionid 进行访问。
(3)服务端编写一个用户中心的 Servlet 类,用户中心发起请求时会通过 Cookie 的 Domain 和 Path 确认,如果这个请求是在同一个 Cookie 的域和上下文中,就会在请求头中携带 sessionid 请求服务器,如果这个 sessionid 和服务器的 sessionid 相同就会直接获取 Session 进行后续操作。
@WebServlet("/user/index") public class UserServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { HttpSession session = request.getSession(); String username = (String) session.getAttribute("username"); System.out.println(username); } @Override protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { this.doGet(request, response); } }
(4)Session 会话时长默认是 30 分钟,可以通过配置修改。
<session-config> <session-timeout>30</session-timeout> </session-config>
四、Cookie的介绍与使用
1.Cookie简介
Cookie:有时也用其复数形式Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息。
Cookie数据存储在客户端,存储的类型只能是String,并且是又大小限制的,一般为4KB。
Cookie的持久化存储,使用setMaxAge()来设置存储的时间,如果不设置,默认关闭浏览器即是删除。
Cookie对客户端是可见的,别有C用心的人可以分析存放在本地的cookie并进行cookie欺骗,所以一般都不用Cookie来存储敏感信息,一般是用来作服务器对客户端的用户识别。
Cookie支持跨域名访问。
2.Cookie的使用
实际上,Servlet 提供的 HttpSession 本质上就是通过 Cookie 中的 JSESSIONID 去跟踪用户会话。除了这个名称外,其他名称的 Cookie 都可以任意使用。
(1)自定义 Cookie 记录用户选择的语言。
@WebServlet(urlPatterns = "/pref") public class LanguageServlet extends HttpServlet { private static final Set<String> LANGUAGES = Set.of("en", "zh"); protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { String lang = req.getParameter("lang"); if (LANGUAGES.contains(lang)) { // 指定名称和值 Cookie cookie = new Cookie("lang", lang); // 在请求以/开头的路径时附加此Cookie cookie.setPath("/"); // 如果是https网页 // cookie.setSecure(true); // 添加到响应 resp.addCookie(cookie); } resp.sendRedirect("/"); } }
(2)读取 Cookie。
private String parseLanguageFromCookie(HttpServletRequest req) { Cookie[] cookies = req.getCookies(); if (cookies != null) { for (Cookie cookie : cookies) { if (cookie.getName().equals("lang")) { return cookie.getValue(); } } } return "en"; }
五、Session和Cookie的原理
Session 原理: 其实是一种服务端的数据存储技术,存储在 StandardSession 类的 ConcurrentHashMap 集合中。为了维护每个请求的数据关系,会生成一个 jsessionid 并通过 Cookie写入客户端。后面在浏览器的每个请求的过程中都会比较请求的域和 Cookie 的域是否相同,如果相同,浏览器会把所有 Cookie 中存放的key 一起打包,放入到请求头中,发送给服务器。然后服务器会根据 request 对象解析请求头中 Cookie,如果该数据信息 jsessionid 和请求头中 Cookie 里 jsessionid 名字且值都相同,就直接返回一个 Session对象,如果找不到,说明会话已经失效。
Cookie 原理: 其实是一种客户端的数据存储技术,它会把数据写入到浏览器中,不会占用服务器的内存,所以在很多时候,如果仅仅只是临时的保存一些数据信息,但是又不想存储数据库表,那么可以考虑使用Cookie 技术。其实 JavaScript 也可以操作 Cookie。比如用户登录记录登录状态,就可以考虑使用Cookie。比如视频网站播放的时候,记录当前播放进度或者音量等等,也可以考虑使用 Cookie。
Session与Cookie的区别: Session存储数据在服务器端,Cookie在客户端;Session没有数据类型大小限制,Cookie有数据类型限制,仅限String类型,<=4KB;Session数据安全,Cookie相对于不安全。
六、Session 和 Cookie存在的问题
Cookie 存在的问题:安全问题和大小问题。现在的比较常见的解决方案:localStorage /sessionStorage。Chrome 浏览器中 localStorage 最大 5120kb,即 5M。
Session 存在的问题:占用服务器的内存,当服务器空间不够时只能做负载均衡。
后记
Java全栈学习路线可参考:【Java全栈学习路线】最全的Java学习路线及知识清单,Java自学方向指引,内含最全Java全栈学习技术清单~