Cookie和Session

秒速五厘米 2022-06-02 12:53 301阅读 0赞

### Cookie ###

Cookie是由服务器生成, 保存在客户端的一种信息载体. 这个载体中存放着用户访问该站点的会话状态信息. 只要Cookie没有被清空或失效, 那么保存在其中的会话状态就有效.

用户在提交第一次请求后, 由服务器生成Cookie, 并将其封装到响应头中, 以响应的形式发送给客户端. 客户端收到这个响应后, 将Cookie保存到内存或本地磁盘. 当客户端再次发送同类请求后, 在请求中会携带保存在客户端的Cookie数据, 发送到服务端, 由服务器对会话进行跟踪.

**什么是同类请求?**

(1)默认绑定路径

访问路径由资源路径和资源名称构成. 默认情况下, Cookie与访问路径中的资源路径绑定. 只要用户发出带有绑定资源路径的请求, 则在请求头部, 将自动会携带与之绑定的Cookie数据.

![在这里插入图片描述][20190328151419302.png]

(2)设置绑定路径

String username = request.getParameter("username");
    Cookie cookie = new Cookie(username, username);
    
    //设置绑定路径. 注意: 这里的路径必须要加上项目名称
    cookie.setPath(request.getContextPath() + "/aaa");
    response.addCookie(cookie);

![在这里插入图片描述][20190328151441962.png]

**Cookie的有效期**

(1)默认

默认情况下浏览器把Cookie保存在缓存中, 当浏览器关闭后Cookie就失效了.

(2)设置有效期

在服务端给Cookie设置有效期后, 浏览器把Cookie保存在硬盘中, 当有效期过后就失效了.

cookie.setMaxAge(60*60); //有效期为1小时

### Session ###

Session, 即会话, 是Web开发中的一种会话状态跟踪技术. 当然Cookie也是一种会话跟踪技术, 不同的是Cookie是将会话状态保存在客户端, 而Session保存在服务器端.

那么, 到底什么是"会话"? 当用户打开浏览器, 从发出第一次请求开始, 一直到最终关闭浏览器, 就表示一次会话的完成.

**Session的原理**

服务器为每一个浏览器发起的会话提供一个Session, 那服务器是如何识别各个Session对象的呢?

(1)写入Session列表

服务器对当前应用中的Session是以Map的形式进行管理的, 这个Map称为Session列表. 当用户第一次提交请求时, 服务端Servlet中执行到request.getSession()方法后, 会自动生成一个Map.Entry对象, 该Map的key是一个32位长度的随机字符串JSessionID, value是Session对象的引用.

![在这里插入图片描述][watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdGlhbnhpYW5nX2thb2xh_size_16_color_FFFFFF_t_70]

(2)服务器生成并发送Cookie

在将Session信息写入Session列表后, 服务器会生成一个Cookie, key为"JSESSIONID"这个字符串, value为 JSessionID的值,即一个32位长度的随机字符串. 以响应的形式发送到客户端.

![在这里插入图片描述][2019032815153424.png]

(3)客户端接收并发送Cookie

客户端接收到这个Cookie后会将其存放到浏览器的缓存中. 即只要客户端浏览器不关闭, 浏览器缓存中的Cookie就不会消失. 当用户提交第二次请求时, 会将缓存中的这个Cookie,伴随着请求的头部信息, 一块发送到服务端.

![在这里插入图片描述][20190328151545852.png]

(4) 从Session列表中查找

服务端从请求中读取到客户端发送来的Cookie, 并根据该Cookie的value值,即JSessionID, 从Map.Entry对象中找到对应的Session引用. 然后对该Session进行后续操作.

**Session的有效期**

若某个Session在指定的时间范围内一直未被访问, 那么Session将失效. 默认是30分钟, 注意这个时间不是从Session创建时开始计时, 而是Session最后一次被访问后开始计时.

![在这里插入图片描述][20190328151555419.png]

**Cookie禁用**

若客户端浏览器禁用了Cookie, 会发现向服务器所提交的每一次请求, 服务器在给出的响应中都会包含名称为JSESSIONID的Cookie, 而且Cookie的值每一次都不一样. 这是因为当Cookie被禁用后, 服务器接收不到客户端浏览器发送来的Cookie, 就认为是一次新的会话请求, 创建一个新的Session. 相当于Session无效了.

**ServletContext、HttpSession、HttpRequest三者的区别**

*  ServletContext, 即application, 其域属性是整个应用范围内的, 可以完成跨会话共享数据.
 *  HttpSession, 其域属性是浏览器会话范围内的, 可以完成跨请求共享数据.
 *  HttpRequest, 其域属性是请求范围内的, 可以完成跨Servlet共享数据. 但这些Servlet必须在同一个请求中, 如请求转发.

[20190328151419302.png]: /images/20220602/3fbfbcb197d7456aae34c5c311c6eae0.png
[20190328151441962.png]: /images/20220602/5b4562fd48f540e78c7d016c4380d681.png
[watermark_type_ZmFuZ3poZW5naGVpdGk_shadow_10_text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L2xpdGlhbnhpYW5nX2thb2xh_size_16_color_FFFFFF_t_70]: /images/20220602/4d4f9307dcb146fb8245432138521669.png
[2019032815153424.png]: /images/20220602/d1aa1826c443429fb5b39a63e975fb09.png
[20190328151545852.png]: /images/20220602/e987365898724bb388e01fdd49ff23bf.png
[20190328151555419.png]: /images/20220602/366f564835104ac59920bbd57b0b65ef.png