http 之session和cookie
- 由于HTTP協(xié)議是無狀態(tài)的協(xié)議恤批,所以服務(wù)端需要記錄用戶的狀態(tài)時,就需要用某種機制來識具體的用戶庸追,這個機制就是Session.典型的場景比如購物車购桑,當(dāng)你點擊下單按鈕時,由于HTTP協(xié)議無狀態(tài)菠隆,所以并不知道是哪個用戶操作的兵琳,所以服務(wù)端要為特定的用戶創(chuàng)建了特定的Session狂秘,用用于標(biāo)識這個用戶,并且跟蹤用戶躯肌,這樣才知道購物車?yán)锩嬗袔妆緯叽骸_@個Session是保存在服務(wù)端的,有一個唯一標(biāo)識清女。在服務(wù)端保存Session的方法很多钱烟,內(nèi)存、數(shù)據(jù)庫嫡丙、文件都有拴袭。集群的時候也要考慮Session的轉(zhuǎn)移,在大型的網(wǎng)站迄沫,一般會有專門的Session服務(wù)器集群稻扬,用來保存用戶會話,這個時候 Session 信息都是放在內(nèi)存的羊瘩,使用一些緩存服務(wù)比如Memcached之類的來放 Session泰佳。
- 思考一下服務(wù)端如何識別特定的客戶?這個時候Cookie就登場了尘吗。每次HTTP請求的時候逝她,客戶端都會發(fā)送相應(yīng)的Cookie信息到服務(wù)端。實際上大多數(shù)的應(yīng)用都是用 Cookie 來實現(xiàn)Session跟蹤的睬捶,第一次創(chuàng)建Session的時候黔宛,服務(wù)端會在HTTP協(xié)議中告訴客戶端,需要在 Cookie 里面記錄一個Session ID擒贸,以后每次請求把這個會話ID發(fā)送到服務(wù)器臀晃,我就知道你是誰了。有人問介劫,如果客戶端的瀏覽器禁用了 Cookie 怎么辦徽惋?一般這種情況下,會使用一種叫做URL重寫的技術(shù)來進(jìn)行會話跟蹤座韵,即每次HTTP交互险绘,URL后面都會被附加上一個諸如 sid=xxxxx 這樣的參數(shù),服務(wù)端據(jù)此來識別用戶誉碴。
- Cookie其實還可以用在一些方便用戶的場景下宦棺,設(shè)想你某次登陸過一個網(wǎng)站,下次登錄的時候不想再次輸入賬號了黔帕,怎么辦代咸?這個信息可以寫到Cookie里面,訪問網(wǎng)站的時候成黄,網(wǎng)站頁面的腳本可以讀取這個信息侣背,就自動幫你把用戶名給填了白华,能夠方便一下用戶。這也是Cookie名稱的由來贩耐,給用戶的一點甜頭。
所以厦取,總結(jié)一下:
Session是在服務(wù)端保存的一個數(shù)據(jù)結(jié)構(gòu)潮太,用來跟蹤用戶的狀態(tài),這個數(shù)據(jù)可以保存在集群虾攻、數(shù)據(jù)庫铡买、文件中;
Cookie是客戶端保存用戶信息的一種機制霎箍,用來記錄用戶的一些信息奇钞,也是實現(xiàn)Session的一種方式
Cookie: --->常見的應(yīng)用場景是:自動登錄的
Cookie是瀏覽器保存信息的一種方式,可以理解為一個文件漂坏,保存到客戶端了啊景埃,服務(wù)器可以通過響應(yīng)瀏覽器的set-cookie的標(biāo)頭,得到Cookie的信息顶别。你可以給這個文件設(shè)置一個期限谷徙,這個期限呢,不會因為瀏覽器的關(guān)閉而消失啊驯绎。其實大家應(yīng)該對這個效果不陌生完慧,很多購物網(wǎng)站都是這個做的,即使你沒有買東西剩失,他也記住了你的喜好屈尼,現(xiàn)在回來,會優(yōu)先給你提交你喜歡的東西啊拴孤,他們也真是煞費苦心了啊脾歧。
Cookie的操作:
-
添加Cookie
Cookie cookie = new Cookie("user", "suntao"); cookie.setMaxAge(7*24*60*60); // 一星期有效 response.addCookie(cookie); -
獲取Cookie
// 因為取得的是整個網(wǎng)頁作用域的Cookie的值,所以得到的是個數(shù)組 Cookie[] cookies = request.getCookies(); for(int i = 0 ; i < cookies.length ; i++){ String name = cookies[i].getName() ; String value = cookies[i].getValue() ; }
cookie的存活期:默認(rèn)為-1
會話Cookie:把Cookie保存到瀏覽器上乞巧,當(dāng)存活期為負(fù)數(shù)
持久Cookie:把Cookie保存到文件中涨椒,當(dāng)存活期為正數(shù)
設(shè)置存活期:c.setMaxAge();
HttpSession 會話機制 -->Servlet的會話機制的實現(xiàn)
創(chuàng)建于服務(wù)器端,保存于服務(wù)器绽媒,維護(hù)于服務(wù)器端,每創(chuàng)建一個新的Session,服務(wù)器端都會分配一個唯一的ID蚕冬,并且把這個ID保存到客戶端的Cookie中,保存形式是以JSESSIONID來保存的是辕。
|-- 通過HttpServletRequest.getSession 進(jìn)行獲得HttpSession對象囤热,通過setAttribute()給會話賦值,可以通過invalidate()將其失效获三。
|--每一個HttpSession有一個唯一的標(biāo)識SessionID旁蔼,只要同一次打開的瀏覽器通過request獲取到session都是同一個锨苏。
|--WEB容器默認(rèn)的是用Cookie機制保存SessionID到客戶端,并將此Cookie設(shè)置為關(guān)閉瀏覽器失效棺聊,Cookie名稱為:JSESSIONID
|--每次請求通過讀取Cookie中的SessionID獲取相對應(yīng)的Session會話
|--HttpSession的數(shù)據(jù)保存在服務(wù)器端伞租,所以不要保存數(shù)據(jù)量耗資源很大的數(shù)據(jù)資源,必要時可以將屬性移除或者設(shè)置為失效
-
|--HttpSession可以通過setMaxInactiveInterval()設(shè)置失效時間(秒)或者在web.xml中配置
<session-config> <!--單位:分鐘--> <session-timeout>30</session-timeout> </session-config> -
|--HttpSession默認(rèn)使用Cookie進(jìn)行保存SessionID限佩,當(dāng)客戶端禁用了Cookie之后葵诈,可以通過URL重寫的方式進(jìn)行實現(xiàn)。
可以通過response.encodeURL(url) 進(jìn)行實現(xiàn)
API對encodeURL的結(jié)束為祟同,當(dāng)瀏覽器支持Cookie時作喘,url不做任何處理;當(dāng)瀏覽器不支持Cookie的時候晕城,將會重寫URL將SessionID拼接到訪問地址后泞坦。
要想了解內(nèi)部發(fā)生了什么操作,點擊以下鏈接Http Session和Cookie原理
