SSM-Cookie、Session、拦截器Interceptor

1 Cookie

Cookie意为“甜饼”，是由W3C组织提出，最先由Netscape社区发展的一种机制。

Cookie其实是一小段的文本信息。客户端请求服务器，若是服务器须要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还能够根据须要修改Cookie的内容。

单点登陆中可利用cookie设置完成。

可在浏览器中查看cookie，cookie不能跨域。一对一的关系。

1.1 设置Cookie

Cookie知识介绍：

1.cookie.setPath("/") 表明根目录有效
    url1:www.jt.com/addUser
    url2:www.jt.com/user/addUser
2.cookie.setDomain("域名地址") cookie在哪些域名中共享
    例子1：cookie.setDomain("www.jt.com");//只有在www.jt.com中共享
    cookie.setDomain("jt.com");//在jt.com中共享
3.cookie.setMaxAge(30*24*60*60);//让cookie30天有效。
4.Cookie cookie = new Cookie("JT_TICKET",uuid);
    设置cookie的name和值

例如：

@RestController
public class UserController {
    @RequestMapping("/login")
    public String login(String username, HttpServletResponse response) {
        //建立cookie
        Cookie cookie = new Cookie("username", username);
        //把cookie返回给浏览器
        response.addCookie(cookie);
        return "设置cookie";
    }
}

1.2 读取Cookie

@RestController
public class OrderController {

    @RequestMapping("/getOrder")
    public String getOrder(HttpServletRequest request) {
        //读取全部cookie
        Cookie[] cookies = request.getCookies();
        String string = "";
        if (cookies != null) {
            //遍历cookie
            for (Cookie cookie : cookies) {
                //取cookie名
                String cookieName = cookie.getName();
                //取cookie值
                String cookieValue = cookie.getValue();
                string = string + cookieName + cookieValue;
            }
        }
        return string;
    }

1.3 “删除”Cookie

cookie不能主动删除，如需删除cookie，可从新设置cookie，将有效时间改成0便可。

Cookie cookie = new Cookie("username", username);
cookie.setMaxAge(0);//让cookie失效
//把cookie返回给浏览器
response.addCookie(cookie);

2 Session

Session是另外一种记录客户状态的机制，不一样的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上。这就是Session。

Session对应的类为javax.servlet.http.HttpSession类。

1. Session是将会话中产生的数据保存在服务器端，是服务器端技术
2. Session是一个域对象，session中也保存了一个map集合，往session中存数 据，其实就是将数据保存到session的map集合中。
3. 经过session.setAttribute()方法能够将数据保存到session中，经过 session.getAttribute()方法能够将数据从session中取出来。

建立对象：

HttpSession session = request.getSession();

调用方法：

String getAttribute(String attribute)读客户状态信息
void setAttribute(String attribute, Object value)方法写客户状态信息
void setMaxInactiveInterval(int second) 设置Session的超时时间。单位为秒

2.1 设置Session

@RestController
public class CartController {

    @RequestMapping("/insert")
    public String insert(String itemName, HttpSession session) {
        //session内部是有hashmap,用来存放数据
        
        //找到购物车
        ArrayList<String> cart = (ArrayList<String>) session.getAttribute("cart");
        //判断购物车是否为空
        if (cart == null) {
            //建立购物车
            cart = new ArrayList();
            
            //保存购物车
            session.setAttribute("cart", cart);
        }
        //向购物车添置商品
        cart.add(itemName);
        return itemName + "添加到购物车";
    }
}

2.2 获取Session

@RequestMapping("/list")

    public String list(HttpServletRequest request, HttpSession session) {
        String string = "";
        //找到购物车
        ArrayList<String> cart = (ArrayList<String>) session.getAttribute("cart");
        //判断购物车是否为空
        if (cart != null) {
            //遍历商品
            for (String itemName : cart) {
                string = string + "itemName:" + itemName;
            }
        }
        return string;
    }

2.3 销毁session

1. 超时销毁：默认状况下，当超过30分钟没有访问session，session就会超时 销毁。（30分钟是默认时间，能够修改，但不推荐修改）
2. 自杀：调用session的invalidate方法时，会当即销毁session。
3. 意外身亡：当服务器非正常关闭时（硬件损坏，断电，内存溢出等致使服 务器非正常关闭），session会随着服务器的关闭而销毁； 当服务器正常关闭，在关闭以前，服务器会将内部的session对象序列化保 存到服务器的work目录下，变为一个文件。这个过程叫作session的钝化 （序列化）；再次将服务器启动起来，钝化着的session会再次回到服务 器，变为服务器中的对象，这个过程叫作session的活化（反序列化）。

(2)做用范围：在一次会话范围内（获取到的都是同一个session对象）
(3)主要功能：在整个会话范围内实现数据的共享

cookie和session的区别

Cookie和session都属于会话技术，均可以保存会话中产生的数据，但因为cookie 和session的工做原理和特色不一样，所以二者的应用场景也不同。

Cookie的特色：

1. cookie是将会话中产生的数据保存在浏览器客户端, 是客户端技术（JS能够 访问cookie）
2. cookie是将数据保存在客户端浏览器，容易随着用户的操做致使cookie丢失或者被窃取，所以cookie中保存的数据不太稳定，也不太安全。
3. 但cookie将数据保存在客户端，对服务器端没有太多影响，能够将数据保存很长时间。
4. 总结：所以cookie中适合存储须要长时间保存、但对安全性要求不高的数 据
5. 浏览器对cookie的大小和个数都有限制，通常推荐每个站点给浏览器发送的cookie数量不超过20个，每个cookie的大小不超过1kb。
6. Cookie的应用：实现购物车、记住用户名、30天内自动登陆等。

Session的特色：

1. session是将会话中产生的数据保存在服务器端，是服务器端技术
2. session将数据存在服务器端的session对象中，相对更加的安全，并且更加稳定。不容易随着用户的操做而致使session中的数据丢失或者是被窃取。
3. 但session是服务器端的对象，在并发量较高时每个浏览器客户端在服务器端都要对应一个session对象，占用服务器的内存空间，影响效率。
4. 总结：所以session中适合存储对安全性要求较高，但不须要长时间保存的数据。
5. Session的应用：保存登陆状态、保存验证码。

拦截器Interceptor

功能分核心业务功能和扩展功能。
核心业务功能如登陆，添加购物车，查询订单。
扩展功能如计算时间，身份验证，日志，扩展功能放在Interceptor中，访问controller时自动执行。不修改controller代码就实现了扩展功能。这种方式也叫无侵入性编码，动态代理。

自定义拦截器实现了HandlerInterceptor接口，并实现了接口中的三个方法：

• preHandle() 方法：该方法会在控制器方法前执行，其返回值表示是否中断后续操做。当其返回值为true时，表示继续向下执行； 当其返回值为false时，会中断后续的全部操做（包括调用下一个拦截器和控制器类中的方法执行等）。
• postHandle()方法：该方法会在控制器方法调用以后，且解析视图以前执行。能够经过此方法对请求域中的模型和视图作出进一步的修改。
• afterCompletion()方法：该方法会在整个请求完成，即视图渲染结束以后执行。能够经过此方法实现一些资源清理、记录日志信息等工做。

实现身份验证功能

建立AuthInterceptor拦截器：

public class AuthInterceptor implements HandlerInterceptor{
    @Override
    public boolean preHandle(HttpServletRequest request,
            HttpServletResponse response, Object handler)
            throws Exception {
        String url=request.getRequestURI();
        System.out.println(url+" AuthInterceptor.preHandle()");
        
        //判断用户有没有登陆
        HttpSession session=request.getSession();
        String username=(String) session.getAttribute("username");
        if (StringUtils.isEmpty(username)) {
            response.sendRedirect("/login.html");
return false;// false 不执行controller,postHandle()
        }
        return true;// false 不执行controller,postHandle()
    }
    @Override
    public void postHandle(HttpServletRequest request, HttpServletResponse response, Object handler,
            ModelAndView modelAndView) throws Exception {
        System.out.println("AuthInterceptor.postHandle()");

        HandlerInterceptor.super.postHandle(request, response, handler, modelAndView);
    }

}

在配置文件config中添加authInterceptor：
将config对象交给bean容器进行管理。

@Component//这是个组件，框架会自动建立对象
public class WebConfig implements WebMvcConfigurer{

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        
        AuthInterceptor authInterceptor=new AuthInterceptor();        
        registry.addInterceptor(authInterceptor).addPathPatterns("/getOrder","/list");
        
        WebMvcConfigurer.super.addInterceptors(registry);
    }
}