Cookie会话控制，看这一篇就够了！

  
  今天说说cookie会话控制，主要就说说cookie的创建，更新，删除一下的原理，同时献上一个小例子供大家参考。

1.首先来介绍一下Cookie

1.1 为什么需要Cookie

  HTTP是无状态协议，服务器不能记录浏览器的访问状态，也就是说服务器不能区分两次请求是否由一个客户端发出。这样的设计严重阻碍了Web程序的设计。如：在我们进行网购时，买了一条裤子，又买了一个手机。由于HTTP协议是无状态的，如果不通过其他手段，服务器是不能知道用户到底买了什么。而Cookie就是解决方案之一。
  

1.2 Cookie是什么

  Cookie，翻译是小饼的意思。实际上就是服务器保存在浏览器上的一段信息。浏览器有了Cookie之后，每次向服务器发送请求时都会同时将该信息发送给服务器，服务器收到请求后，就可以根据该信息处理请求。

例如：我们上文说的网上商城，当用户向购物车中添加一个商品时，服务器会将这个条信息封装成一个Cookie发送给浏览器，浏览器收到Cookie，会将它保存在内存中（注意这里的内存是本机内存，而不是服务器内存），那之后每次向服务器发送请求，浏览器都会携带该Cookie，而服务器就可以通过读取Cookie来判断用户到底买了哪些商品。当用户进行结账操作时，服务器就可以根据Cookie的信息来做结算。

Cookie的用途：

• 网上商城的购物车
• 保持用户登录状态

总结一句话：Cookie，是一种服务器告诉浏览器以键值对形式存储小量信息的技术。
  

1.3 Cookie的工作原理

  总的来看Cookie像是服务器发给浏览器的一张“会员卡”，浏览器每次向服务器发送请求时都会带着这张“会员卡”，当服务器看到这张“会员卡”时就可以识别浏览器的身份。

实际上这个所谓的“会员卡”就是服务器发送的一个响应头：

如图Set-Cookie这个响应头就是服务器在向浏览器发“会员卡”，这个响应头的名字是Set-Cookie，后边JSESSIONID=95A92EC1D7CCB4ADFC24584CB316382E和 Path=/Test_cookie，是两组键值对的结构就是服务器为这个“会员卡”设置的信息。浏览器收到该信息后就会将它保存到内存或硬盘中。

当浏览器再次向服务器发送请求时就会携带这个Cookie信息：

这是浏览器发送的请求报文，中间画红框的就是Cookie信息，这里可以理解为浏览器这次带着“会员卡”再次访问服务器。

于是服务器就可以根据Cookie信息来判断浏览器的状态。

Cookie的缺点:

• Cookie因为请求或响应报文发送，无形中增加了网络流量。
• Cookie是明文传送的安全性差。
• 各个浏览器对Cookie有限制，使用上有局限。
    

2.Cookie的使用

2.1 Cookie的创建与设置

1. 在Servlet中创建Cookie对象，并添加到Response中。
2. 然后打开浏览器访问Servlet程序，服务器将Cookie信息发送给浏览器。
3. 浏览器收到Cookie后会自动保存，然后我们可以在下次浏览器发送请求时读取Cookie信息。

说明：按下F12查看Cookie内容

图解Cookie的创建过程：

Cookie的创建代码：

/**
 * Cookie的代码
 */
public class CookieServlet extends BaseServlet {
	private static final long serialVersionUID = 1L;

	protected void createCookie(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		
		// Cookie的创建
		Cookie cookie = new Cookie("cookie-name", "cookie-Value");
		Cookie cookie2 = new Cookie("cookie-name2", "cookie-Value2");

		// 告诉浏览器保存
		response.addCookie(cookie);
		response.addCookie(cookie2);
		response.getWriter().write("已创建Cookie……");
	}
}

web.xml文件中的配置

<servlet>
	<servlet-name>CookieServlet</servlet-name>
	<servlet-class>com.javaWeb.servlet.CookieServlet</servlet-class>
</servlet>

<servlet-mapping>
	<servlet-name>CookieServlet</servlet-name>
	<url-pattern>/CookieServlet</url-pattern>
</servlet-mapping>

修改html页面中连接的访问地址为：

<li><a href="CookieServlet?action=createCookie" target="target">Cookie的创建</a></li>

然后点击访问。记住，访问的时候，一定不是把html的页面托到浏览器中访问，而是在浏览器里输出地址，通过访问Tomcat服务器访问页面。

浏览器工具–查看结果：

谷歌浏览器，直接按下F12功能键，会弹出调试工具，选择Performance-----Cookies----localhost查看localhost域名下的cookie。

如果是火狐浏览器。同样按下F12功能键，弹出调试工具（一定要记住启用所有窗口）。选择Cookies选择卡：

  

2.2 Cookie的读取

读取Cookie主要指读取浏览器中携带的Cookie。

1. 服务器端获取浏览器传过来的Cookie代码：request.getCookies()
2. 遍历Cookie数组，获取所有Cookie信息
3. 修改html连接，点击访问
4. 打开浏览器工具查看HTTP协议内容
5. 查看服务器代码获取Cookie后的输出

图解Cookie的获取过程:

获取Cookie的代码：

protected void getCookie(HttpServletRequest request, HttpServletResponse response)
	throws ServletException, IOException {
	// 获取所有cookie对象
	Cookie[] cookies = request.getCookies();
	// 如果没有cookie，则返回null。
	if (cookies != null) {
		// 有cookie则遍历
		for (Cookie cookie : cookies) {
			response.getWriter().write("Cookie名：" + cookie.getName() 
					+ "<br/>Cookie值：" + cookie.getValue() + "<br/><br/>");
		}
	} else {
		response.getWriter().write("没有Cookie");
	}
	
}

修改html页面中的连接访问地址为：

<li><a href="cookieServlet?action=getCookie" target="target">Cookie的获取</a></li>

修改完之后，点击连接访问服务器。

通过浏览器查看请求头：

页面输出：

  

2.3 Cookie值的修改

1. 在Servlet中添加修改Cookie值的代码

2. 修改html页面中修改cookie的连接，并访问

3. 打开浏览器的调试工具查看，请求头和响应头中Cookie的信息

图解修改Cookie值的过程：

修改Cookie值的代码：

protected void updateCookie(HttpServletRequest request, HttpServletResponse response)
	throws ServletException, IOException {
	
	// 创建一个已存在key的Cookie对象
	Cookie cookie = new Cookie("cookie-name", null);
	// 修改Cookie的值
	cookie.setValue("this is new value");
	// 通知浏览器保存修改
	response.addCookie(cookie);
	response.getWriter().write("Cookie…已修改值");
}

修改html页面中update修改cookie的访问地址为：

<li><a href="cookieServlet?action=updateCookie" target="target">Cookie值的修改</a>
</li>

修改完Cookie更新的连接访问之后，点击访问。
打开浏览器调试工具查看请求头和响应头中Cookie的信息：

在Resource页签中，查看修改后Cookie的内容：

  

2.4 Cookie的有效时间

  经过上边的介绍我们已经知道Cookie是存储在浏览器中的，但是可想而知一般情况下浏览器不可能永远保存一个Cookie，一来是占用硬盘空间，再来一个Cookie可能只在某一时刻有用没必要长久保存。所以我们还需要为Cookie设置一个有效时间。

Cookie的实例方法setMaxAge( ) 控制Cookie存活的时间，接收一个int型参数，单位：秒。

• 参数设置为0，即：setMaxAge(0)：立即失效，表示浏览器一收到响应后，就马上删除Cookie，下次浏览器发送请求时，将不会再携带该Cookie。
• 参数设置大于0：比如setMaxAge(60)，表示有效的秒数60秒后，Cookie失效。
• 参数设置小于0：比如setMaxAge(-1)，表示当前会话有效。也就是关闭浏览器后Cookie失效，被删除。
• 如果不设置失效时间，默认为当前会话有效，一旦关闭浏览器，Cookie就失效，被删除。

图解Cookie过期时间被修改的过程：

修改Cookie过期时间的代码：

protected void deleteCookie(HttpServletRequest request, HttpServletResponse response)
	throws ServletException, IOException {
	// 获取Cookie
	Cookie[] cookies = request.getCookies();
	Cookie cookie = null;
	if (cookies != null) {
		// 查找出我们需要修改的Cookie对象
		for (Cookie c : cookies) {
			// 获取键为cookie-name的cookie对象
			if ("cookie-name".equals(c.getName())) {
				cookie = c;
				break;
			}
		}
	}
	if (cookie != null) {
//          负数表示浏览器关闭后删除，正数表示多少秒后删除
//			 设置为零，表示立即删除Cookie
		cookie.setMaxAge(0);
		response.addCookie(cookie);
		response.getWriter().write("删除Cookie……");
	}
	
}

修改html页面中的连接地址：

<li><a href="cookieServlet?action=deleteCookie" target="target">Cookie立即删除</a>
</li>

修改之后，点击访问。

通过浏览器调试工具查看请求响应信息。和Cookie信息：


  

2.5 Cookie的路径Path设置

  Cookie的路径指告诉浏览器访问哪些地址时应该携带该Cookie，我们知道浏览器会保存很多不同网站的Cookie，比如百度的Cookie，新浪的Cookie，腾讯的Cookie等等。那我们不可能访问百度的时候携带新浪的Cookie，也不可能访问每个网站时都带上所有的Cookie，这是不现实的。所以往往我们还需要为Cookie设置一个Path属性，来告诉浏览器何时携带该Cookie。

我们通过调用Cookie的实例方法setPath()，来设置Cookie的Path路径。这个路径由浏览器来解析。

• / ：代表服务器的根目录
• 如果设置有效路径为：/abc，则：下面几个路径能访问到Cookie
  • /abc 能获取Cookie
  • /xxxx.xxx 不能获取Cookie
  • /abc/xxx.xxx 能获取Cookie
  • /abc/a/b/c 能获取Cookie
• 如果不设置，默认会在访问“/项目名”下的资源时携带
  • 如：“/项目名/index.jsp” 、 “/项目名/hello/index.jsp”

设置Cookie对象Path属性的代码:

protected void setPath(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {		
	// 创建一个Cookie对象
	Cookie cookie = new Cookie("cookie-path", "test");
	// 设置Cookie的有效访问路径为/abc/下所有资源
	cookie.setPath(request.getContextPath() + "/abc");
	// 通知浏览器保存修改
	response.addCookie(cookie);
	response.getWriter().write("设置Cookie…的path路径");
}

当我们通过浏览器访问上面的代码，响应头中会有下如下信息：

下面写一个cookie常用的地方，用户免输入就登录。

需求：第一次登录之后，一个星期内免输入用户名登录。

① 服务器Servlet的代码：

protected void login(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//获取请求参数
	String userName = request.getParameter("username");
	String password = request.getParameter("password");
	String cb = request.getParameter("cb");
	//
	Cookie cookie=new Cookie("username",userName);
	Cookie cookie2=new Cookie("password",password);
	if("admin".equals(userName)&&"123456".equals(password)) {
		if(cb != null) {
			cookie2.setMaxAge(60*60*24*7);
			cookie.setMaxAge(60*60*24*7);
			response.addCookie(cookie);
			response.addCookie(cookie2);
			response.getWriter().write("<h2>登录成功</h2>");				
		}else {
			cookie2.setMaxAge(0);
			cookie.setMaxAge(0);
			response.addCookie(cookie);
			response.addCookie(cookie2);
			response.getWriter().write("<h2>登录成功</h2>");	
		}
	}else {
		response.sendRedirect(request.getContextPath()+"/login.jsp");
	}
}

② WebContent/login.jsp页面：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Insert title here</title>
</head>
<body>
<h2>登录页面</h2>
	<form action="CookieServlet?method=login" method="post">
		用户名：<input name="username" type="text" value="${cookie.username.value }"><br>
		密&emsp;码：<input name="password" type="password" value="${cookie.password.value }"><br>
		要记住密码吗？<input type="checkbox" name="cb" value="cb">
		<input type="submit" value="提交">
	</form>
</body>
</html>

可以看到一次登录成功后页面刷新用户名和密码会自动回显。
同时也可以看到一周后过期。
关于图片中的一个特殊cookie不知道大家有没有发现，JSESSIONID这个先前有介绍，具体的等下篇讲咯。