Cookie

概念：

完成会话跟踪的一种机制

cookie 机制采用的是在客户端保持 HTTP 状态信息的方案。

cookie 是在浏览器访问 WEB 服务器的某个资源时，由 WEB 服务器在 HTTP 响应头中附带传送给浏览器的一个小文本文件。

一旦 WEB 服务器保存了某个 cookie，那么它在以后每次访问该 WEB 服务器时，都会在 HTTP 请求头中将这个 cookie 回传给 WEB 服务器。

一个 cookie 只能标识一种信息，它至少含有一个标识该信息的名称和设置值。

一个 WEB 站点可以给一个 WEB 浏览器发送多个 cookie，一个 WEB  浏览器也可以存储多个 WEB 站点提供的 cookie。

浏览器一般只允许存放 300 个 cookie，每个站点最多存放 20 个 cookie，每个 cookie 的大小限制为 4KB。

注：

如果不设置最大时效，表示这个 cookie 生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie 就消失了，称之为会话 cookie，这种一般不保存于硬盘上，而是保存在内存中。

如果设置了最大时效，浏览器会把 cookie 保存在硬盘上，关闭后再打开浏览器，这些 cookie 依然有效直到超过设定的最大时效。

Cookie 的作用范围：

可以作用于当前目录和当前目录的子目录，但不能作用于当前目录的上一级目录，可以通过 setPath 方法来设置 Cookie  的作用范围，其中 / 代表站点的根目录。

案例：

通过 cookie 实现自动登录：

新建 index.jsp：

通过获取 login.jsp 的传参 name，如果 name 不为空，则存入 cookie 中，设置最大时效为 10 秒，超过时长则 cookie 过期，需要重新登录，如果为空，则从 cookie 里面取值，如果值不为空，则显示，为空则跳转到登录页面。

login.jsp 有如下操作：

点击按钮，将输入框的值传给 index.jsp

Session

概念：

session 机制采用的是在服务器端保持 HTTP 状态信息的方案。当程序需要为某个客户端请求创建一个 session 时，服务器首先检查这个客户端的请求里是否包含一个 session 标识（即 sessionId），如果已经包含说明以前已经创建过，此时服务器把这个 session 查询出来，如果没有，则创建一个新的 session 并且生成一个与此 session 相关联的 sessionId，这个 sessionId 将在本次响应中返回给客户端保存。

过程：

客户端发出请求到服务器，服务器新建 HttpSession 对象，并响应（Set-Cookie：xxxxxxxxx），下次请求则携带上次所创建的 session，通过 cookie 发起。

HttpSession 生命周期：

什么时候创建 HttpSession 对象？

1、对于 JSP：是否浏览器访问服务端的任何一个 JSP，服务器不一定会立即创建一个 HttpSession

有如下两种情况：

① 若当前的 JSP 是客户端访问的当前 WEB 应用的第一个资源，且 JSP 的 page 指定的 session 属性值为 false，则服务器就不会为 JSP 创建一个 HttpSession 对象。

② 若当前的 JSP 不是客户端访问的当前 WEB 应用的第一个资源，且其他页面已经创建一个 HttpSession 对象，则服务器也不会为当前 JSP 页面创建一个 HttpSession 对象，而会和当前会话关联的那个 HttpSession 对象返回给当前的 JSP 页面。

2、对于 Servlet：若 Servlet 是客户端访问的第一个 WEB 应用的资源，则只有调用了 request.getSession() 或 request.getSession(true) 才会创建 HttpSession 对象

session = "false" 是指当前 JSP 页面禁用 session 隐含变量，但可以使用其他的显式的 HttpSession 对象。

什么时候销毁 HttpSession 对象？

1、直接调用 HttpSession 的 invalidate() 方法：该方法使 HttpSession 失效

2、服务器卸载了当前 WEB 应用

3、超出了 HttpSession 的过期时间。

注：关闭浏览器只会使存储在客户端浏览器内存中的 session cookie 失效，不会使服务端的 session 对象失效

① 设置 HttpSession 的过期时间：session.setMaxInactiveInterval(5)；单位为秒

② 在 web.xml 文件中设置 HttpSession 的过期时间：单位为分钟

    <session-config>

            <session-timeout>30</session-timeout>

    </session-config>

HttpSession 常用方法：

1、获取 session 对象：request.getSession()、request.getSession(boolean create)

2、属性相关的：setAttribute、getAttribute、removeAttribute

3、使 HttpSession 失效的：invalidate() 方法

4、设置其最大失效的 setMaxInactiveInterval

当浏览器把 cookie 禁用了，如何来跟踪 session：

在跳转的 JSP 地址上添加如下方法：

response.encodeURL("login.jsp")

JavaWeb 中相对路径和绝对路径

1、绝对路径的问题：

⑴ 开发时建议编写“绝对路径”：写绝对路径肯定没有问题，但写相对路径可能会有问题。

在由 Servlet 转发到 JSP 页面时，此时浏览器地址栏上显示的是 Servlet 的路径，而若 JSP 页面的超链接还是相对于该 JSP 页面的地址，则可能会出现路径混乱的问题。

比如说：

在项目的根目录下有个 a.jsp，在 WEB-INF 目录下的 path 目录下有 b.jsp 和 c.jsp，此时，a.jsp 通过 Servlet 的方式转发到 b.jsp（b.jsp 里有个超链接，此超链接跳转到同个路径下的 c.jsp），这时网页会提示无法找到该页面。

⑵ 编写绝对路径可以避免以上问题：

① 在 JavaWEB 中什么叫“绝对路径”：相对于当前 WEB 应用的根路径的路径，即任何的路径都必须带上 contextPath

② 如何编写：

⑶ JavaWEB 开发中的 / 代表什么？

① 当前 WEB 应用的根路径：http://localhost:8080/contextPath/

    请求转发时：request.getRequestDispatcher("/path/b.jsp").forward(request,response);

    web.xml 文件中映射的 Servlet 访问路径：

② WEB 站点的根路径：http://localhost:8080/

以下几种方式表示：

超链接：<a href="/TestServlet"></a>

表单中的 action：<form action="/login.jsp"/>

请求重定向：response.sendRedirect("/")

表单的重复提交

1、重复提交的情况

⑴ 在表单提交到一个 Servlet，而 Servlet 又通过请求转发的方式响应一个 JSP（HTML）页面，此时地址栏还保留着 Servlet 的那个路径，在响应页面点击“刷新”。

⑵ 在响应页面没有到达时重复点击“提交按钮”

⑶ 点击“返回”，再点击“提交”

2、如何避免表单的重复提交

在表单中做一个标记，提交到 Servlet 时，检查标记是否存在且是否和预定义的标记一致，若一致，则受理请求，并销毁标记，若不一致或没有标记，则直接响应提示信息：“重复提交”

使用方法：

把标记放在 session 中

使用步骤：

⑴ 在原表单页面，生成一个随机值 token

⑵ 在原表单页面，把 token 值放入 session 属性中

⑶ 在原表单页面，把 token 值放入到隐藏域中

⑷ 在目标的 Servlet 中：获取 session 和隐藏域中的 token 值

⑸ 比较两个值是否一致：若一致，受理请求，且把 session 中的 token 属性清除

⑹ 若不一致，则直接响应提示页面：“重复提交”

注：验证码的原理和表单重复提交的原理一致

以上为本人的一些学习笔记，如有出错欢迎指正，陆续更新！！！