会话控制 Cookie Session

第1章 Cookie的介绍

1.1 为什么需要Cookie

HTTP是无状态协议，**服务器不能记录浏览器的访问状态，也就是说服务器不能区分两次请求是否由一个客户端发出。**这样的设计严重阻碍了Web程序的设计。如：在我们进行网购时，买了一条裤子，又买了一个手机。由于HTTP协议是无状态的，如果不通过其他手段，服务器是不能知道用户到底买了什么。而Cookie就是解决方案之一。

1.2 Cookie是什么

• Cookie，翻译是小饼的意思。实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后，每次向服务器发送请求时都会同时将该信息发送给服务器，服务器收到请求后，就可以根据该信息处理请求。

• 例如：我们上文说的网上商城，当用户向购物车中添加一个商品时，服务器会将这个条信息封装成一个Cookie发送给浏览器，浏览器收到Cookie，会将它保存在内存中（注意这里的内存是本机内存，而不是服务器内存），那之后每次向服务器发送请求，浏览器都会携带该Cookie，而服务器就可以通过读取Cookie来判断用户到底买了哪些商品。当用户进行结账操作时，服务器就可以根据Cookie的信息来做结算。

• Cookie的用途：

• 网上商城的购物车

• 保持用户登录状态

- 总结一句话：Cookie，是一种服务器告诉浏览器以键值对形式存储小量信息的技术。

1.3 Cookie的工作原理

• 总的来看Cookie像是服务器发给浏览器的一张“会员卡”，浏览器每次向服务器发送请求时都会带着这张“会员卡”，当服务器看到这张“会员卡”时就可以识别浏览器的身份。

• 实际上这个所谓的“会员卡”就是服务器发送的一个响应头：

如图Set-Cookie这个响应头就是服务器在向浏览器发“会员卡”，这个响应头的名字是Set-Cookie，后边JSESSIONID=95A92EC1D7CCB4ADFC24584CB316382E和 Path=/Test_cookie，是两组键值对的结构就是服务器为这个“会员卡”设置的信息。浏览器收到该信息后就会将它保存到内存或硬盘中。

当浏览器再次向服务器发送请求时就会携带这个Cookie信息：

• 这是浏览器发送的请求报文，中间画红框的就是Cookie信息，这里可以理解为浏览器这次带着“会员卡”再次访问服务器。

• 于是服务器就可以根据Cookie信息来判断浏览器的状态。

• Cookie的缺点

  • Cookie因为请求或响应报文发送，无形中增加了网络流量。

  • Cookie是明文传送的安全性差。

  • 各个浏览器对Cookie有限制，使用上有局限。

第2章 Cookie的使用

2.1 Cookie的创建与设置

1. 在Servlet中创建Cookie对象，并添加到Response中。
2. 然后打开浏览器访问Servlet程序，服务器将Cookie信息发送给浏览器。
3. 浏览器收到Cookie后会自动保存，然后我们可以在下次浏览器发送请求时读取Cookie信息。

说明：按下F12查看Cookie内容

图解Cookie的创建过程：

Cookie的创建代码：

/**
 * Cookie的代码
 */
public class CookieServlet extends BaseServlet {
    
    
	private static final long serialVersionUID = 1L;

	protected void createCookie(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		
		// Cookie的创建
		Cookie cookie = new Cookie("cookie-name", "cookie-Value");
		Cookie cookie2 = new Cookie("cookie-name2", "cookie-Value2");

		// 告诉浏览器保存
		response.addCookie(cookie);
		response.addCookie(cookie2);
		response.getWriter().write("已创建Cookie……");
	}
}

web.xml文件中的配置

<servlet>
	<servlet-name>CookieServlet</servlet-name>
	<servlet-class>com.atguigu.servlet.CookieServlet</servlet-class>
</servlet>

<servlet-mapping>
	<servlet-name>CookieServlet</servlet-name>
	<url-pattern>/cookieServlet</url-pattern>
</servlet-mapping>

修改html页面中连接的访问地址为：

<li><a href="cookieServlet?action=createCookie" target="target">Cookie的创建</a></li>

然后点击访问。记住，访问的时候，一定不是把html的页面托到浏览器中访问，而是在浏览器里输出地址，通过访问Tomcat服务器访问页面。

浏览器工具–查看结果：

谷歌浏览器，直接按下F12功能键，会弹出调试工具，选择Resource-----Cookies----localhost查看localhost域名下的cookie。

2.2 Cookie的读取

读取Cookie主要指读取浏览器中携带的Cookie。

1. 服务器端获取浏览器传过来的Cookie代码：request.getCookies()
2. 遍历Cookie数组，获取所有Cookie信息
3. 修改html连接，点击访问
4. 打开浏览器工具查看HTTP协议内容
5. 查看服务器代码获取Cookie后的输出

图解Cookie的获取过程

获取Cookie的代码：

protected void getCookie(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		// 获取所有cookie对象
		Cookie[] cookies = request.getCookies();
		// 如果没有cookie，则返回null。
		if (cookies != null) {
    
    
			// 有cookie则遍历
			for (Cookie cookie : cookies) {
    
    
				response.getWriter().write("Cookie名：" + cookie.getName() 
						+ "<br/>Cookie值：" + cookie.getValue() + "<br/><br/>");
			}
		} else {
    
    
			response.getWriter().write("没有Cookie");
		}
		
	}

修改html页面中的连接访问地址为：

<li><a href="cookieServlet?action=getCookie" target="target">Cookie的获取</a></li>

修改完Cookie更新的连接访问之后，点击访问。

打开浏览器调试工具查看请求头和响应头中Cookie的信息：

在Resource页签中，查看修改后Cookie的内容：

2.4 Cookie的有效时间

• 经过上边的介绍我们已经知道Cookie是存储在浏览器中的，但是可想而知一般情况下浏览器不可能永远保存一个Cookie，一来是占用硬盘空间，再来一个Cookie可能只在某一时刻有用没必要长久保存。所以我们还需要为Cookie设置一个有效时间。

• Cookie的实例方法setMaxAge( ) 控制Cookie存活的时间，接收一个int型参数，单位：秒。

  • 参数设置为0，即：setMaxAge(0)：立即失效，表示浏览器一收到响应后，就马上删除Cookie，下次浏览器发送请求时，将不会再携带该Cookie。
  • 参数设置大于0：比如setMaxAge(60)，表示有效的秒数60秒后，Cookie失效。
  • 参数设置小于0：比如setMaxAge(-1)，表示当前会话有效。也就是关闭浏览器后Cookie失效，被删除。
  • 如果不设置失效时间，默认为当前会话有效，一旦关闭浏览器，Cookie就失效，被删除。

图解Cookie过期时间被修改的过程：

修改Cookie过期时间的代码：

protected void deleteCookie(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		// 获取Cookie
		Cookie[] cookies = request.getCookies();
		Cookie cookie = null;
		if (cookies != null) {
    
    
			// 查找出我们需要修改的Cookie对象
			for (Cookie c : cookies) {
    
    
				// 获取键为cookie-name的cookie对象
				if ("cookie-name".equals(c.getName())) {
    
    
					cookie = c;
					break;
				}
			}
		}
		if (cookie != null) {
    
    
//          负数表示浏览器关闭后删除，正数表示多少秒后删除
//			 设置为零，表示立即删除Cookie
			cookie.setMaxAge(0);
			response.addCookie(cookie);
			response.getWriter().write("删除Cookie……");
		}
		
	}

修改html页面中的连接地址：

<li><a href="cookieServlet?action=deleteCookie" target="target">Cookie立即删除</a></li>

修改之后，点击访问。

通过浏览器调试工具查看请求响应信息。和Cookie信息：

2.5 Cookie的路径Path设置

• Cookie的路径指告诉浏览器访问哪些地址时应该携带该Cookie，我们知道浏览器会保存很多不同网站的Cookie，比如百度的Cookie，新浪的Cookie，腾讯的Cookie等等。那我们不可能访问百度的时候携带新浪的Cookie，也不可能访问每个网站时都带上所有的Cookie，这是不现实的。所以往往我们还需要为Cookie设置一个Path属性，来告诉浏览器何时携带该Cookie。

• 我们通过调用Cookie的实例方法setPath()，来设置Cookie的Path路径。这个路径由浏览器来解析。

  • / ：代表服务器的根目录
  • 如果设置有效路径为：/day14/abc，则：下面几个路径能访问到Cookie
    • /day14/abc 能获取Cookie
    • /day14/xxxx.xxx 不能获取Cookie
    • /day14/abc/xxx.xxx 能获取Cookie
    • /day14/abc/a/b/c 能获取Cookie
  • 如果不设置，默认会在访问“/项目名”下的资源时携带
    • 如：“/项目名/index.jsp” 、 “/项目名/hello/index.jsp”

设置Cookie对象Path属性的代码

protected void setPath(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		
		// 创建一个Cookie对象
		Cookie cookie = new Cookie("cookie-path", "test");
		// 设置Cookie的有效访问路径为/day14/abc/下所有资源
		cookie.setPath(request.getContextPath() + "/abc");
		// 通知浏览器保存修改
		response.addCookie(cookie);
		response.getWriter().write("设置Cookie…的path路径");
	}

当我们通过浏览器访问上面的代码，响应头中会有下如下信息：

分别通过不同的路径去访问，查看浏览器的请求头，是否会携带/day14/abc 路径下Cookie

访问/day14/cookie.html请求头信息

访问/day14/abc/a/b/c.html请求头信息

第3章 Cookie练习：用户免输入

需求：第一次登录之后，一个星期内免输入用户名登录。

1 - 服务器Servlet的代码

protected void login(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		// 获取请求参数
		String username = request.getParameter("username");
		String password = request.getParameter("password");

		if ("admin".equals(username) && "admin".equals(password)) {
    
    
			// 创建Cookie
			Cookie cookie = new Cookie("username", username);
			// 设置过期时间为一个星期
			cookie.setMaxAge(60 * 60 * 24 * 7);
			// 通知浏览器保存
			response.addCookie(cookie);
			response.getWriter().write("登录成功！");
		} else {
    
    
			response.sendRedirect(request.getContextPath() + "/login.jsp");
		}
	}

2 - WebContent/login.jsp页面

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="cache-control" content="no-cache" />
<meta http-equiv="Expires" content="0" />
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
    <form action="cookieServlet?action=login" method="post">
	用户名：<input name="username" type="text" value="${ cookie.username.value }" /><br /> 
	密&emsp;码：<input name="password" type="password" value="" /><br /> 
	7天免输入:<input type="checkbox" name="ck" value="ck"><br /> 
		<input type="submit" value="提 交" />
</form>
</body>
</html>

第4章 Session的介绍

4.1 为什么需要Session

• 使用Cookie有一个非常大的局限，就是如果Cookie很多，则无形的增加了客户端与服务端的数据传输量。而且由于浏览器对Cookie数量的限制，注定我们不能再Cookie中保存过多的信息，于是Session出现。

• Session的作用就是在服务器端保存一些用户的数据，然后传递给用户一个名字为JSESSIONID的Cookie，这个JESSIONID对应这个服务器中的一个Session对象，通过它就可以获取到保存用户信息的Session。

4.2 Session是什么

• 首先Session是jsp中九大内置对象之一

• 其次Session是一个域对象

• 然后Session是在服务器端用来保存用户数据的一种技术。并且Session会话技术是基于Cookie实现的。

第5章 Session的使用

5.1 Session的创建和获取

• Session的创建时机是在request.getSession()方法第一次被调用时。
  • 补充：request.getSession()之后的调用都是获取已经创建了的Session对象

- Session被创建后，同时还会有一个名为JSESSIONID的Cookie被创建。

- 这个Cookie的默认时效就是当前会话。

下面是创建Session和获取Session。以及获取Session的 ID编号，获取Session是否是新创建的示例代码：

package com.atguigu.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class SessionServlet extends BaseServlet {
    
    
	private static final long serialVersionUID = 1L;

	public SessionServlet() {
    
    
	}

	protected void getSession(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    
    
		System.out.println(request.getHeader("Cookie"));
		
		// 第一次调用就是创建一个新的Session。如果Session已经创建过。就获取原来的会话。
		HttpSession session = request.getSession();
		// 输出会话id号，和是否是新创建
		// session.getId()返回Session的唯一编号
		// session.isNew()返回当前Session是否是刚创建的
		response.getWriter().write("session ID:" + session.getId() + "<br/>是否是新的：" + session.isNew());
	}
}

在web.xml文件中的配置：

<servlet>
		<servlet-name>SessionServlet</servlet-name>
		<servlet-class>com.atguigu.servlet.SessionServlet</servlet-class>
	</servlet>
	<servlet-mapping>
		<servlet-name>SessionServlet</servlet-name>
		<url-pattern>/sessionServlet</url-pattern>
	</servlet-mapping>

第一次访问的结果：

之后每次访问的结果：

5.2 Session的工作原理

• Session被创建后，对应的Cookie被保存到浏览器中，之后浏览器每次访问项目时都会携带该Cookie。

• 当我们再次调用时会根据该JSESSIONID获取已经存在的Cookie，而不是再创建一个新的Cookie。

• 如果Cookie中有JSESSIONID，但是JSESSIONID没有对应的Session存在，则会重新创建一个HttpSession对象，并重新设置JSESSIONID。

5.3 Session数据的存取

• Session域对象数据的存取和其他三个域对象PageContext、Request、ServletContext是一样的。只需要调用下面两个方法：

  • setAttribute 设置属性
  • getAttribute 获取属性

• 编写下面的java代码去访问，就可以在Session域中设置属性，和获取属性。

protected void setAttribute(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
		HttpSession session = request.getSession();
		// 设置数据
		session.setAttribute("abc", "abc value");
		response.getWriter().write("设置属性值成功！");
	}
	
	protected void getAttribute(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
    
    
		// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
		HttpSession session = request.getSession();
		// 设置数据
		String value = (String) session.getAttribute("abc");
		response.getWriter().write("获取abc的属性值：" + value);
	}

修改session.html 中访问的连接地址，然后点击访问。

<li>
	<a href="sessionServlet?action=setAttribute" target="target">Session域数据的存储</a></li>

<li>
	<a href="sessionServlet?action=getAttribute" target="target">Session域数据的获取</a></li>

访问后效果图：

5.4 Session 的有效时间

• 基本原则

  • Session对象在服务器端不能长期保存，它是有时间限制的，超过一定时间没有被访问过的Session对象就应该释放掉，以节约内存。所以Session的有效时间并不是从创建对象开始计时，到指定时间后释放。而是从最后一次被访问开始计时，统计其“空闲”的时间。

• 默认时效

  • 在tomcat的conf目录下web.xml配置文件中能够找到如下配置：

<!-- ==================== Default Session Configuration ================= -->
  <!-- You can set the default session timeout (in minutes) for all newly   -->
  <!-- created sessions by modifying the value below.                       -->

    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>

说明：Session对象默认的最长有效时间为30分钟。

手动设置1：全局

• 我们也可以在自己工程的web.xml文件中配置Session会话的超时时间为10分钟。

• 记住一点，我们在web.xml文件中配置的Session会话超时时间是对所有Session都生效的。

<!-- 设置Session默认的过期时间  -->
<session-config>
	<!-- 以分钟为单位。10分钟超时  -->
    <session-timeout>10</session-timeout>
</session-config>

- **手动设置2：局部**

  - int getMaxInactiveInterval()    获取超时时间。以秒为单位。
  - setMaxInactiveInterval (int seconds)  设置用户多长时间没有操作之后就会Session过期。以秒为单位。
    - 如果是正数。表示用户在给定的时间内没有任意操作，Session会话就会过期。
    - 如果是非正数（零&负数）。表示Session永不过期。

- **强制失效**

  - invalidate()

- **示例代码**

Session在3秒之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为3秒 
session.setMaxInactiveInterval(3);

Session在1分钟之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。 
HttpSession session = request.getSession();
// 设置过期时间为1分钟
session.setMaxInactiveInterval(60);

Session在1小时之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1小时
session.setMaxInactiveInterval(60 * 60);

Session在1天之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1天
session.setMaxInactiveInterval(60 * 60 * 24);

Session在1周之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1周
session.setMaxInactiveInterval(60 * 60 * 24 * 7);

Session永远不超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置永远不超时
session.setMaxInactiveInterval(-1);

Session马上超时（失效）
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 让Session对象立即过期
session.invalidate();

5.4 Session对象的释放

• Session对象空闲时间达到了目标设置的最大值，自动释放

• Session对象被强制失效

• Web应用卸载

• 服务器进程停止

5.5 Session的活化和钝化

• Session机制很好的解决了Cookie的不足，但是当访问应用的用户很多时，服务器上就会创建非常多的Session对象，如果不对这些Session对象进行处理，那么在Session失效之前，这些Session一直都会在服务器的内存中存在。那么，就出现了Session活化和钝化的机制。

- Session钝化：Session在一段时间内没有被使用或关闭服务器时，会将当前存在的Session对象及Session对象中的数据从内存序列化到磁盘的过程，称之为钝化。

- Session活化：Session被钝化后，服务器再次调用Session对象或重启服务器时，将Session对象及Session对象中的数据从磁盘反序列化到内存的过程，称之为活化。

• 如果希望Session域中的对象也能够随Session钝化过程一起序列化到磁盘上，则对象的实现类也必须实现java.io.Serializable接口。不仅如此，如果对象中还包含其他对象的引用，则被关联的对象也必须支持序列化，否则会抛出异常：java.io.NotSerializableException

5.6 浏览器和Session关联的技术内幕

在前面的演示中我们发现一旦浏览器关闭之后，我们再去获取Session对象就会创建一个新的Session对象。这是怎么回事呢。现在让我们来看一下。这一系列操作过程中的内幕细节。

通过上图的分析，我们不难发现。当浏览器关闭之后。只是因为浏览器无法再通知服务器，之前创建的Session的会话id是多少了。所以服务器没办法找到对应的Session对象之后，就以为这是第一次访问服务器。就创建了新的Session对象返回。

第6章 URL重写（了解）

• 在整个会话控制技术体系中，保持JSESSIONID的值主要通过Cookie实现。但Cookie在浏览器端可能会被禁用，所以我们还需要一些备用的技术手段，例如：URL重写。

• URL重写其实就是将JSESSIONID的值以固定格式附着在URL地址后面，以实现保持JSESSIONID，进而保持会话状态。这个固定格式是：URL;jsessionid=xxxxxxxxx

• 例如：

targetServlet;jsessionid=97120112D5538009334F1C6DEADB1BE7

• 实现方式：

  • response.encodeURL(String)

  • response.encodeRedirectURL(String)

• 示例代码

//1.获取Session对象
HttpSession session = request.getSession();
		
//2.创建目标URL地址字符串
String url = "targetServlet";
		
//3.在目标URL地址字符串后面附加JSESSIONID的值
url = response.encodeURL(url+";jsessionid=97120112D5538009334F1C6DEADB1BE7");
		
//4.重定向到目标资源
response.sendRedirect(url);

第7章 处理表单重复提交问题

• 表单重复提交的危害
  • 可重复注册，对数据库进行批处理攻击。（验证码已解决该问题）
  • 可重复提交已付款表单，用户支付一次订单费用，下了多个订单
  • 等待…
• 解决表单重复提交的步骤
  • 生成一个不可重复（全球唯一）的随机数(uuid)
  • 在提交表单前，将随机数(uuid)分别存放到表单内的隐藏域，和session域对象中
  • 发送“提交表单”请求
  • 判断是否提交表单，具体操作如下：
    • 分别获取隐藏域和session域中的uuid
    • 判断两个域中的数据是否相等
      • 相等：提交表单，并将session域中的uuid移除
      • 不等：不提交表单
• UUID
  • 定义：是一个32位16进制的随机数
  • 特点：全球唯一
  • 使用：java.util.UUID.randomUUID()

2. Session工作原理【面试题】

如今，饼干店搞促销活动【会员活动】

1. 程序员来饼干店，买饼干
2. 店家在电脑中录入会员信息【手机号】，同时发送一张卡片给程序员【手机号】
3. 以后程序员再次来饼干店，买饼干。会携带卡片
4. 店家通过卡片，去电脑中查询会员信息，从而区分会员信息

• Session工作原理

  1. 浏览器发送请求【第一次调用(HttpServletRequest)request.getSession()】
  2. @2服务器创建Session对象，同时会创建一个特殊的Cookie对象【Cookie的name是固定值：JSESSIONID,Cookie的value是session的id】,将Cookie发送给浏览器。
  3. 以后浏览器再次请求服务器时，携带Cookie对象
  4. 服务器通过Cookie的value查找Session对象，通过Session区分不同用户信息。

• Session工作原理【扩展版本】

  1. 浏览器发送请求【不是第一次】：原则上不会再创建Session对象，会获取已创建Session对象。
  2. 判断是否可以获取Session对象的两个条件
     • 特殊Cookie是否存在
       • 不存在：返回@2步骤，重新执行后续操作。
       • 存在：判断Session对象本身是否存在？【Session默认存货30分钟-空闲时间】
         • Session存在：直接使用
         • Session不存在：返回@2步骤，重新执行后续操作。