一、初识Cookie与Session
明确一点:浏览器,为了安全,默认情况下是不能让页面的 js 访问到 用户电脑上的文件系统的。
假设某个网页上,包含恶意代码。
然后,我们不小心点到的,就可能触发这个恶意代码,可能就把你电脑上的 资料 全给删除了。
显然这是一件非常难受的事情!
所以浏览器为了保护 用户电脑上的 资料,就会禁止页面的 js 访问到文件系统。
就是说,页面的 js 是获取不到:当前用户电脑上的文件有哪些 ,就别提进行删除操作了。
这是浏览器为了安全而引入的机制。
但是!这样的安全限制,也带来了一些麻烦。
因为有时候,我们确实需要让页面这里持久化存储一些数据,方便后续访问网站。
举个例子:
其中,最典型的,就是序要存储 用户当前的身份信息。
————————————————
我们在登录网站的时候,如果你前几天登录过,那么你在重新进入这个网站的时候。往往都是直接就登录进去了,不用再重复登录了。这是为什么呢?是网站储存了我们的信息了吗?是怎样储存的呢?
答案是:网站就是通过Cookie来做到这一点的,我们虽然不能让网站这个页面的JS代码直接访问我们的磁盘文件,但我们可以给浏览器单独分配一个“小黑屋”(也就是一块单独的空间,这样JS代码就只会再我们所开辟的这个小黑屋里折腾,是不会影响到我们磁盘上的其他文件}
对于小黑屋的提供,我们有好几种形式和实现方法,其中Cookie就是一个比较经典的做法。
Cookie本质上,就是浏览器给页面提供的一种能够持久化存储数据的机制。
持久化指的是:数据不会因为程序的重新或者主机的重启而丢失,数据是存储在硬盘当中的,而不是在很容易丢失的磁盘上。
光说意义不大,我们来登录个网站,实际抓包看一下
二、与Cookie和Session相关API的学习
是不是有点蒙,光听理论是不行的,下面我们来进行一下实战演练。通过一个servlet登录功能的实现来看看Cookie和Session在其中所发挥的巨大作用。
在开始之前我们先学习一下servlet中为Cookie还有Session提供的API
在 Servlet 中,对于 Cookie 和 Session 都有很好的支持!
所以,我们就可以基于 Servlet 里面提供的 Cookie 和 Session 的 API,来进行会话管理类似的操作。
回忆之前的例子:
到了医院先挂号. 挂号时候需要提供身份证, 同时得到了一张 “就诊卡”, 这个就诊卡就相当于患者的 “令牌”(相当于是 cookie,里面存储这用户的详细信息).
后续去各个科室进行检查, 诊断, 开药等操作, 都不必再出示身份证了, 只要凭就诊卡即可识别出当前患者的身份.
看完病了之后, 不想要就诊卡了, 就可以注销这个卡. 此时患者的身份和就诊卡的关联就销毁了. (类似于网站的注销操作)
又来看病, 可以办一张新的就诊卡, 此时就得到了一个新的 “令牌
但其实在实际情况中,使用的是一个 session 的方式来保存的。
毕竟一个人,他可能不止一张卡,而且卡可能会丢。
因此将身份信息全部存储到卡上并不安全,所以,卡上只需要存储一个会话窗口编号(sessionId)。
通过这个会话窗口编号,就可以打开对应的窗口,调取对应的信息。
也就是说:
每一张卡 相当于 开启了 一个会话窗口,都可以通过这个会话窗口来获取自身的详细信息。
好了,前言铺垫完毕,下面来正式结束servlet中对于Cookie和Session提供的API,大家还记得
我们上一篇博客中提到的Servlet中那三个重要的类吗
HttpServlet
HttpServletRequest(对应请求)
HttpServletResponse(对应响应)
我们的cookie和session是在我们登录网站时,来保存数据的。那么它们自然与请求和响应有着不可分割的关系
核心方法
🌰HttpServletRequest 类中的相关方法
🍑对于getSession来说,获取会话的大致流程如下:
首先拿到请求中Cookie中的sessionId字段,sessionId就相当于是会话的身份标识 。然后我们就去判断这个sessionId在服务器的session(类似哈希表)中存在不存在。
如果存在,就通过这个sessionId来获取到服务器中的会话对象,并通过返回值的形式把这个HttpSession对象返回去。
如果不存在,就会创建一个HttpSession会话对象,并且生成对应的sessionId
sessionId 是一个很长的数字,通常是用 十六进制来表示的。
这个数字能够保证唯一性:它这里面有一些列相关的算法,能够生成一个唯一的sessionId,然后这个Id 就作为我们当前会话的身份标识。
接下来,就把 sessionId 作为 key,把这个 HttpSession 对象,作为 value。
把这个键值对,给保存到 服务器内存 的一个“哈希表” 这样的结构中。
这里的“哈希表”:只是表示一个类似 哈希表的数据结构。
也就是说,一定是一个键值对结构,但是 是不是 哈希表 就不能保证了。
再然后,服务器就会返回一个 HTTP 响应,把 sessionId 通过 Set-Cookie 字段 返回给浏览器。
然后,浏览器就可以保存这个 sessionId 到 cookie中了。
说了这么多,那么这个所谓的HttpSession到达是个什么东东?
这个对象本质上也是一个键值对的结构,
sessionId是其中的key,对于他的value,可以是一个一个的键值对,存放了用户信息:比如用户名、密码
🌰HttpServletResponse 类中的相关方法
🌰Cookie 类中的相关方法
🌰 HttpSession 类中的相关方法
三、实战演练:网页登录
好了,我们的前置知识铺垫完成,来正式开始我们的项目吧!!!
大家还记得一个Maven项目的创建流程吗?
我们简单来复习一下
1、创建Maven项目
2、引入Servlet依赖(通过Mawen中央仓库—把依赖代码放在pom.xml中)
3、构建目录结构,我们要手动创建webapp目录和WEB-INF目录以及他下面的web.xml文件,名字必须是这样(这样tomcat才能识别)
4、编写Servlet程序
5、通过tomcat打包部署
6、在浏览器中验证程序
下面我们来分析一下这个网页登录的大致流程
在理解了上述登录页面的代码后,我们就可以开始尝试开发了。
在编写代码前,首先我们要约定好前后端的交接端口
根据上面的逻辑图,一共有两组交互:
1、登录(这个是静态页面,我们直接用html实现就好)
2、获取主页(这个是动态的,用户不同,主页显示的也不同,我们可以用servlet代码来实现)
注意:
针对前后端交互接口,这里有很多种约定方式。
这么多约定方式,使用哪种都可以!
一定要确定出一种约定方式,
然后前后端代码的编写,就需要围绕着这一种约定的方式进行编写。
如果如果不按照这种方式去写,代码会出现很多问题!
比如:请求是GET,但是服务器中处理请求的方法是POST,那么就会触发405.
来张图
看一下我们的代码执行效果
让我们看看抓包结果
