Cookie简介
Cookie是一种会话跟踪技术。会话就是一组请求与响应(服务器和客户端的会话)。状态就是数据,会话状态就是会话数据跟踪。
注:HTTP是无状态的,它的底层协议是由状态的TCP,但是HTTP的一次完整协议动作,里面是使用有状态的TCP协议来完成的。而每次协议动作之间没有任何关系。但是Web应用很多时候是需要HTTP动作之间是有关联的, 就是使应用有状态。web应用中,用户可能访问一个页面后,在那个页面上逗留很久才跳转到另外一个页面,如果在这两个页面(两个http请求应答)之间维持状态,代价非常高。于是就引出了,在http协议的基础上,web应用引入cookies, session, application。这样的东西来保持web应用之间的状态。
Cookie是由服务器产生,保存在客户端的一种信息载体。这个载体中存放着用户访问该站点的会话信息(存放数据)。只要cookie没有被清空,或者cookie没有失效,那么,保存在其中的会话状态就有效。
用户在第一次提交请求后,由服务器产生cookie,并将其封装到响应头中,以响应的形式发送给客户端。客户端接收到这个响应后,将cookie保存到客户端。当客户端再次发送同类请求后,在请求中就会携带保存在客户端的cookie数据,发送到服务端,由服务器对会话进行跟踪。
Session
Session,即会话,是Web卡法中的一种会话状态跟踪技术。
使用getSession()方法后才会使用Session,不然是不会启动Session的。
什么是会话
当用户打开浏览器,从发出第一次请求开始,一直到最终关闭浏览器,就表示一次会话的完成。
Web开发中的Session机制,为每个用户都分配了一个Session。一次会话一个Session对象。同一用户可以发出多个会话,即产生多个Session。
Session工作原理
服务器会为每一个会话维护一个Session(同一个会话是同一个HttpSession对象)。不同会话对应不同Session。如何做到在同一会话中使用的是同一个Session对象?
1 写入Session列表
当前应用中的Session是以Map形式管理的,这个Map称为Session列表。该Map的key为一个32位的随机串,这个随机串称为 JSessionID ,value则为Session对象的引用地址。
当用户第一次提交请求时,服务端Servlet执行到 request.getSession()方法后会自动生成一个Map.Entry对象,key为SessionID,value则为新创建的HttpSession对象。
2 服务器生成并发送Cookie
在将Session信息写入Session列表后,系统还将自动将 “JSessionID” 作为name,这个32位长度的随机串作为value,以Cookie的形式存放到响应报头中,并随着响应将该Cookie发送到客户端。
响应头中的Cookie
3 客户端接收并发送Cookie
客户端接收到这个 Cookie 后会将其存放到浏览器缓存(默认的过期时间为会话结束时)。即,只要客户端浏览器不关闭,浏览器缓存中的Cookie就不会消失。当用户第二次提交请求时,会将缓存中的这个cookie伴随请求头一块发送到服务端。
请求头中的Cookie
4 从Session列表中查找
服务端从请求中读取到客户端发送来的Cookie,并根据 Cookie 的JSESSIONID的值,从Map中查找相应的key所对应的值,即Session对象。然后,对该Sesssion对象的域属性进行读写操作。
Session的失效
关闭浏览器以后看起来好像会话结束了,但其实Session不一定结束。只是重新打开浏览器访问后浏览器找不到原来的JSESSIONID,服务端又重新给它分配了一个JSESSIONID而已,这样原来的Session就会因为超时而失效。
Session的失效就是指Session的超时。若某个Session在指定的时间范围内一直未被访问,那么Session将超时,即将失效。
默认30分钟,这个时间并不是从Session被创建开始计时的生命周期时长,而是最后一次被访问开始计时,在指定的时长内一直未被访问的时长。
若未到超时时间,也可用invalidate()方法使Session提前失效,注意:此时这个Session对象还在,只是里面的数据全部被清空了。
Cookie禁用后使用Session进行会话跟踪
地址栏手工重写URL
在请求后面 加个分号
;再加上jsessionid这个sessionid的键值对发过去就可以进行会话跟踪了。
客户端和服务端的会话结束是会话的失效
对于客户端来说,打开和关闭浏览器就是一次会话的结束,但其实会话还没有结束 ,对于服务器来说,会话失效才意味着会话的结束。所以需要退出登录,退出登录会执行session.invalidate()方法把会话失效(会话结束之前会把session中的数据存到数据库)才算是会话结束了(别人才不能根据你的sessionid冒充你,获取你的信息)。
Cookie禁用后重定向跳转时的session跟踪
String uri = request.getContextPath() + "/otherServlet";
uri = response.encodeRedirectURL(uri); //解决cookie禁用后重定向请求的session的跟踪问题
response.sendRedirect(uri);
可以看到重定向之后的uri自动加上了jsessionid。
Cookie禁用后非重定向跳转时session跟踪
uri = response.encodeURL(uri); //解决cookie禁用后非重定向请求的session的跟踪问题
