1. Session、Cookie是什么
1.1 概念理解
要了解session和cookie是什么,先要了解以下幾個概念。
1.1.1 無狀態的HTTP協議
協議:是指計算機通信網絡中兩臺計算機之間進行通信所必須共同遵守的規定或規則。
超文本傳輸協議(HTTP):是一種通信協議,它允許將超文本標記語言(html)文檔從Web服務器傳送到客戶端的瀏覽器。
HTTP協議是無狀態的協議。一旦數據交換完畢,客戶端與服務器端的連接就會關閉,再次交換數據需要建立新的連接。這就意味著服務器無法從連接上跟蹤會話。
1.1.2 會話(Session)跟蹤
會話:指用戶登錄網站后的一系列動作,比如瀏覽商品添加到購物車并購買。會話(Session)跟蹤是Web程序中常用的技術,用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Session與Cookie。Session通過在服務器端記錄信息確定用戶身份,Cookie通過在客戶端記錄信息確定用戶身份。
1.2 Cookie
由于HTTP是一種無狀態的協議,服務器單從網絡連接上無從知道客戶身份。用戶A購買了一件商品放入購物車內,當再次購買商品時服務器已經無法判斷該購買行為是屬于用戶A的會話還是用戶B的會話了。怎么辦呢?就給客戶端們頒發一個通行證吧,每人一個,無論誰訪問都必須攜帶自己通行證。這樣服務器就能從通行證上確認客戶身份了。這就是Cookie 的工作原理。
Cookie實際上是一小段的文本信息。客戶端請求服務器,如果服務器需要記錄該用戶狀態,就使用response向客戶端瀏覽器頒發一個Cookie。客戶端會把Cookie保存起來。
當瀏覽器再請求該網站時,瀏覽器把請求的網址連同該Cookie一同提交給服務器。服務器檢查該Cookie,以此來辨認用戶狀態。服務器還可以根據需要修改Cookie的內容。
1.2.1 會話Cookie和持久Cookie 若不設置過期時間,則表示這個cookie的生命期為瀏覽器會話期間,關閉瀏覽器窗口,cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在硬盤上而是保存在內存里,當然這種行為并不是規范規定的。
若設置了過期時間,瀏覽器就會把cookie保存到硬盤上,關閉后再次打開瀏覽器,這些cookie仍然有效直到超過設定的過期時間。存儲在硬盤上的cookie可以在瀏覽器的不同進程間共享。這種稱為持久Cookie。
1.2.2 Cookie具有不可跨域名性
就是說,瀏覽器訪問百度不會帶上谷歌的cookie
1.3 Session
Session是另一種記錄客戶狀態的機制,不同的是Cookie保存在客戶端瀏覽器中,而Session保存在服務器上。客戶端瀏覽器訪問服務器的時候,服務器把客戶端信息以某種形式記錄在服務器上,這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態就可以了。每個用戶訪問服務器都會建立一個session并自動分配一個SessionId,用于標識用戶的唯一身份。
1.3.1 兩個問題
1)如何在每次請求時都把SessionId自動帶到服務器呢?
那就是cookie了,如果你想為用戶建立一次會話,可以在用戶授權成功時返回一個唯一的cookie。當一個用戶再次發起請求時,瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中(這是瀏覽器的自動功能,用戶不會察覺到,開發人員也不需操作),當服務器處理完這個請求后,將結果返回給 SessionId 所對應的用戶。
2)儲存需要的信息。
服務器通過SessionId作為key,讀寫對應的value,這就達到了保持會話信息的目的。
1.3.2 Session的創建
當程序需要為某個客戶端的請求創建一個session時,服務器首先檢查這個客戶端的請求里是否已包含了sessionId,如果已包含則說明以前已經為此客戶端創建過session,服務器就按照sessionId把這個session檢索出來使用(檢索不到,會新建一個),如果客戶端請求不包含sessionId,則為此客戶端創建一個session并且生成一個與此session相關
聯的sessionId,sessionId的值是一個既不會重復,又不容易被找到規律以仿造的字符串,這個sessionId將被在本次響應中返回給客戶端保存。
1.3.3 禁用cookie
如果客戶端禁用了cookie,通常有兩種方法實現session而不依賴cookie。
1)URL重寫。就是把sessionId直接附加在URL路徑的后面。
2)表單隱藏域。服務器會自動修改表單,添加一個隱藏字段,以便在表單提交時能夠把sessionId傳回服務器。
比如:
<form name="walking-form" action="/xxx/xxx"> <input type="hidden" name="JSessionId" value="NaOw3vjFW75aKnsF2C2HmdnV9LZcEbzWoWiBdHnLerjQ99zmpQng!-142002807"> <input type="text"> </form> 復制代碼
4、Session共享 對于多網站(同一父域不同子域)單服務器,我們需要解決的就是來自不同網站之間SessionId的共享。由于域名不同(aaa.walking.com 和 bbb.walking.com),而SessionId又分別儲存在各自的cookie中,因此服務器會認為對于兩個子站的訪問,是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達到cookie共享的目的,從而實現SessionId的共享(非服務器集群session共享)。帶來的弊端就是,子站間的cookie信息也同時被共享了。
1.4 應用場景
登錄網站,今輸入用戶名密碼登錄了,第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是cookie。 session一個場景是購物車,添加了商品之后客戶端處可以知道添加了哪些商品,而服務器端如何判別呢,所以也需要存儲一些信息就用到了session。
2. 怎么操作Session
在JAVA Web開發中,Session為我們提供了很多方便,Session是由瀏覽器和服務器之間維護的。在傳統的java web開發,我們通過實現 javax.servlet.Servlet 接口或繼承 javax.servlet.http.HttpServlet 來實現客戶端和服務端以Http協議交互。
2.1 操作Session的API
對Session的操作如下:
@Override
public void service(ServletRequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException {
HttpServletRequest request = (HttpServletRequest) servletRequest;
HttpSession session = request.getSession();
session.setAttribute("userName","walking");//設置屬性
session.setMaxInactiveInterval(30*60);//過期時間 單位秒
session.getCreationTime();//獲取session的創建時間
session.getLastAccessedTime();//獲取上次與服務器交互時間
String id = session.getId();//獲取sessionId
int timeout = session.getMaxInactiveInterval();//獲取session過期時間
session.invalidate();//銷毀session
}
復制代碼
客戶端與服務端對用戶信息的維持有一個時間限制,由于客戶端長時間(休眠時間)沒有與服務器交互,該session被認為已過期,服務器將此Session銷毀,客戶端再一次與服務器交互時之前的Session就不存在了。這就是session的過期。
2.2 設置Session過期時間
2.2.1 傳統web項目中設置Session過期時間
1、在web.xml中設置session-config
如下:
<session-config> <session-timeout>2</session-timeout> </session-config> 復制代碼
即,客戶端連續兩次與服務器交互間隔時間最長為2分鐘,2分鐘后session.getAttribute()獲取的值為空。原來的session已被銷毀,從新的session里獲取之前設置的屬性值自然就為空了。
2、在Tomcat的/conf/web.xml中
session-config,默認值為:30分鐘
<session-config> <session-timeout>30</session-timeout> </session-config> 復制代碼
3、在Servlet中設置
HttpSession session = request.getSession(); session.setMaxInactiveInterval(60);//單位為秒 復制代碼
2.2.2 SpringBoot項目中設置Session過期時間
2.3 說明
1.優先級:Servlet中API設置 > 程序/web.xml設置 > Tomcat/conf/web.xml設置
2.若訪問服務器session超時(本次訪問與上次訪問時間間隔大于session最大的不活動的間隔時間)了,即上次會話結束,但服務器與客戶端會產生一個新的會話,之前的session里的屬性值全部丟失,產生新的sesssionId
3.客戶端與服務器一次有效會話(session沒有超時),每次訪問sessionId相同,若代碼中設置了session.setMaxInactiveInterval()值,那么這個session的最大不活動間隔時間將被修改,并被應用為新值。
4.Session的銷毀(代表會話周期的結束):在某個請求周期內調用了Session.invalidate()方法,此請求周期結束后,session被銷毀;或者是session超時后自動銷毀;或者客戶端關掉瀏覽器
5.對于JSP,如果指定了<%@ page session="false"%>,則在JSP中無法直接訪問內置的session變量,同時也不會主動創建session,因為此時JSP未自動執行request.getSession()操作獲取session。
3. 操作Cookie
3.1 服務端操作Cookie
前面說過,客戶端每次請求服務器會把cookie信息放到header頭信息中,我們可以通過 HttpServletRequest.getCookies()方法獲取所有cookie對象,通過 HttpServletResponse 對象的addCookie方法向客戶端返回cookie。
具體操作API如下:
Cookie[] cookies = request.getCookies();//request對象獲取所有cookie
for (Cookie cookie : cookies) {
String name = cookie.getName();//cookie name
String value = cookie.getValue();//cookie value
String domain = cookie.getDomain();//域名
int maxAge = cookie.getMaxAge();//過期時間
boolean secure = cookie.getSecure();//瀏覽器通過安全協議發送cookies 返回true
String comment = cookie.getComment();//描述
int version = cookie.getVersion();//版本
//以上除name屬性都有對應set方法
boolean httpOnly = cookie.isHttpOnly();//是否Httponly
cookie.setHttpOnly(true);//設置Httponly值
}
//new cookie對象
Cookie cookie = new Cookie("userName","walking");
cookie.setPath("/");
cookie.setMaxAge(60*30);//30分鐘
response.addCookie(cookie);//回寫給客戶端瀏覽器
復制代碼
3.2 前端操作cookie
前端創建設置cookie
/**
* 創建并設置cookie
* @param name cookie名稱
* @param value cookie值
* @param expires 過期時間 毫秒 不填則默認30分
*/
function Setcookie(name, value, expires) {
//設置名稱為name,值為value的Cookie
expires = expires || 30* 60 * 1000;
var expdate = new Date(); //初始化時間
expdate.setTime(expdate.getTime() + expires); //時間
//即document.cookie= name+"="+value+";path=/"; 時間可以不要,但路徑(path)必須要填寫,
// 因為JS的默認路徑是當前頁,如果不填,此cookie只在當前頁面生效!~
document.cookie = name + "=" + value + ";expires=" + expdate.toGMTString() + ";path=/";
}
復制代碼
前端獲取cookie屬性值
/**
* 獲取對應cookie屬性的value
* @param c_name cookie屬性name
* @returns {string} cookie value
*/
function getCookie(c_name) {
if (document.cookie.length > 0) {
c_start = document.cookie.indexOf(c_name + "=");
if (c_start != -1) {
c_start = c_start + c_name.length + 1;
c_end = document.cookie.indexOf(";", c_start);
if (c_end == -1) c_end = document.cookie.length;
return unescape(document.cookie.substring(c_start, c_end));
}
}
return "";
}
復制代碼
4. 總結
1、cookie數據存放在客戶的瀏覽器上,session數據放在服務器上。
2、cookie不是很安全,別人可以分析存放在本地的cookie并進行cookie欺騙,考慮到安全應當使用session。
3、session會在一定時間內保存在服務器上。當訪問增多,會比較占用你服務器的性能,考慮到減輕服務器性能方面,應當使用cookie。
4、單個cookie保存的數據不能超過4K,很多瀏覽器都限制一個站點最多保存20個cookie。
5、可以考慮將登錄信息等重要信息存放為session,其他信息如果需要保留,可以放在cookie中。
6、在程序開發過程中,我們可以在客戶端每次與服務器交互時檢查SessionID(Session中屬性值,非HttpServlet環境開發中也可以用其它的Key值代替),用于會話管理。
關注私信回復:555領取Java高級架構資料、Spring源碼分析、Dubbo、redis、Netty、zookeeper、Spring cloud、分布式等
