会话跟踪技术
在服务器端有一些资源文件,需要判断请求的状态,看该请求是否有权利访问资源文件,如果有就让该请求访问,否则就不让该请求访问。要实现该功能需要使用到会话跟踪技术。
实现会话跟踪技术有两种方式:
1.Cookie
2.Session(重点)
Cookie:
- 1.cookie是由服务器端创建出来的。
- 2.Cookie是保存在浏览器端的。
- 3.浏览器端一旦有cookie信息了,那么浏览器请求项目的所有资源时,都会自动携带该项目相关的cookie信息。
学习cookie需要把握住:
1.服务器端如何创建cookie
Cookie cookie=new Cookie(flag,value);//两个参数分别表示cookie的标记,和cookie的值。
2.服务器端如果把cookie发送给浏览器
response.addCookie(cookie);
3.浏览器如何保存cookie
不用程序员操心了。因为浏览器已经有这个功能了。
4.浏览器再次发送请求时如何携带cookie。
这件事也不用操心了。
5.服务器的隐私资源如何检查cookie。
Cookie[] cookies = request.getCookies();//获取到所有的跟本项目相关的所有的cookie。 If(cookies!=null){ For(Cookie c:cookies){//遍历每一个cookie看是否有需要的cookie信息 String name=c.getName();//得到cookie的标记 String value=c.getValue();//得到cookie的值 } }
总结cookie的特点:
1.cookie是保存在浏览器的字符串。一个cookie是有标记和值构成。标记和值都是字符串。不能是中文的。
2.浏览器会请求项目资源时,会自动携带跟项目相关的cookie。
3.Cookie会在浏览器关闭的时候自动清除掉。如果想控制cookie的有效期,我们创建出cookie对象后可以调用setMaxAge(60).来设置cookie的生命时长。单位秒。如果想观察cookie可以在浏览器设置里面看cookie相关内容。
4.Cookie的数据不安全,重要的数据不要存在cookie里面。
Cookie的缺点:
- 不安全
- 可以被禁用
- Cookie数据量有限制 4K
- Cookie 不能直接保存中文 可以使用URLEncoder 和 URLDecoder进行编解码
Cookie一般保存不太重要的数据。
Session(会话)
Session是服务器为每一个浏览器建立的私人存储空间。
1.如何获取session对象
HttpSession session=request.getSession();//获取session对象
当浏览器第一次访问服务器,调用了该方法后,该方法的含义是创建出session对象。
当浏览器不是第一次访问服务器,调用该代码后,该代码的含义是获取到该浏览器对应的session。
session.getId();获取到session的唯一标记。
2.session作用域
session.setAttribute(key,value);//到session作用域放数据
session.getAttribute(key);//从session作用域获取数据
session.removeAttibute(key);//从session作用域里面移除数据。
3.Session生命周期
A.默认情况下session会存活30分钟。可以通过web.xml配置下面的标签来决定session的存活时长。
B.当浏览器请求服务器后,关闭了浏览器。这时候再打开浏览器后,访问服务器,得到的session跟关闭前得到的session不是同一个了。服务器端到30分钟后就把之前的session销毁掉。
C.session.invalidate();该方法可以将session里面的数据全部清空。
Session的特点
- 1.session跟浏览器一一对应。
- 2.Session是保存在服务器端。
- 3.Session存储的是任意数据类型。
- 4.Session作用域里面是不能随意放数据。
Cookie和session的区别
相同点:都是会话跟踪技术,都跟浏览器相关。
不同点:
- 1.保存的位置不一样。Cookie在浏览器端,session服务器端。重要的数据保存到session里面。
- 2.保存的数据类型不一样。Cookie是字符串类型。Session是任意类型。
Session的两个典型应用案例:
1. 强制登录
2. 验证码的实现
本质:一个变化的图片
作用:避免用户的恶意操作。
Session的底层实现原理:
当浏览器请求被servlet接受到后,这个servlet是如何从众多的session里面选出该浏览器对应的session呢?
1.当servlet中第一种执行了request.getSession(),servlet会创建出session对象,同时会创建出一个cookie对象。Cookie c=new Cookie(“JSESSIONID”,session.getId());
2.当浏览器再次发出请求时,浏览器会自动携带cookie,request.getSession();这行代码的底层会获取到JSESSIONID的值。通过值找到与之对应的session。
伪代码:
Map<String,HttpSession> sessionMap=new ConcurrentHashMap<>();//存放所有session的集合 //第一次请求 HttpSession session=new HttpSession();//第一次请求过来时,实例化出来session对象。 Cookie c=new Cookie(“JSESSIONID”,session.getId());//session的id放入cookie里面响应。 response.addCookie(c); Session.put(session.getId(),session);//把session放入到sessionMap的集合里面。 //第n次请求 Cookie[] cookies=Request.getCookies();//获取到所有的cookie String value=null; For(Cookie c:cookies){ String name=c.getName();//获取到cookie的标记 If(“JSESSION”.equals(name)){ Value=c.getValue(); } } If(value!=null){ HttpSession session=sessionMap.get(value); }
