会话
会话可以认为是从用户打开客户端开始,到用户关闭客户端结束。会话中包含整个HTTP请求的过程。
会话使用
在会话的过程中,我们经常会遇到,例如偏好记录,自动登录,浏览记录等情况。为了让浏览器和服务器能够根据用户操作的数据,进行针对性的操作,我们需要让客户端或者服务器端保存用户的数据,这就要使用到Cookie和Session了。
Cookie:浏览器客户端
Cookie是一种会话数据,保存在客户端,以key-value的形式来保存数据,在服务器收到客户端的HTTP请求时,便会生成所需要的Cookie,保存在HTTP响应报文的头部中,浏览器接收到响应时,便会保存Cookie对象。当浏览器进行下一次请求时,会将Cookie保存在请求报文的头部,一并发给服务器。服务器再根据Cookie,做出响应的行为。
Cookie生命周期
如果我们不特意去设置失效时间,Cookie默认会在会话结束后失效(会话Cookie,一般保存在内存中)。
我们也可以使用setMaxAge来设置Cookie的有效期,这样Cookie就会被保存到硬盘上。
Cookie的生命周期是累积的,到期即会失效。
缺陷
- 大小和数量限制
Cookie由于是通过HTTP报文来传输的,所以存在着大小和数量的限制,一般每个站点可以保存20个Cookie,每个Cookie在4KB以内。 - 数据安全性问题
HTTP请求中的Cookie是明文传输的,所以会有泄漏信息的危险。
使用范例
//如果是第一次连接,从报文中获取信息
String userName = request.getParameter("key");
//创建Cookie并装入响应报文
Cookie userName = new Cookie("key", "value");
userName.setMaxAge(2*60);//两分钟
response.addCookie(userName);
//获取Cookie
Cookie[] cookies = request.getCookies();
//判断是否为第一次访问,如果不是,做判断
if(cookies != null)
{
for(Cookie cookie : cookies)
{
//与数据库中的对应信息匹配
if(cookie.getName().equals("key"))
{
userName = cookie.getValue();
}
}
}
HttpSession:服务器端
HttpSession是服务器端为客户端创建的一个对象,保存着用户的数据,用于服务器端和客户端状态保存。
服务器端在接收到客户端的请求之后,创建一个拥有唯一编号的Session对象,并将相应的数据保存进这个对象中,接着服务器端将Session的唯一编号放在Cookie中,发送回浏览器端。
当浏览器再次访问时,服务器就会根据Session Id,取出对应的Session对象,进行个性化的响应。Session的默认有效期是30分钟,我们可以通过setMaxInactiveInterval接口或者配置部署描述符来设置Session的有效期。接口配置的有效期优先级更高。
与Cookie不同的是,Session保存在服务器端,我们可以通过调用invalidate来使对应的Session主动失效。
使用范例
//如果是第一次连接,从报文中获取信息
String userName = request.getParameter("key");
//创建HttpSession对象,当用户第一次访问时,没有Session对象,这样就会默认创建一个Session对象。
HttpSession session = request.getSession();
session.setAttribute("userName", userName);
session.setMaxInactiveInterval(2*60);//两分钟
//session. invalidate();//session失效
//二次请求时,可以拿到Session对象中的值
String name = (String)session.getAttribute("userName");
if(name != null)
{
//do Something
}
部署描述符:
描述符与<servlet>同层次
<session-config>
<session-timeout>2</session-timeout>//单位为分钟
</session-config>
与Cookie不同的是,Session的生命周期是间隔的,从最后一次访问开始算,过期失效。
由于Session是存放在服务器内存中的,过多的访问量会大量占据服务器资源,因此,不建议存放大量数据在Session中。
