#Session和Cookie对象 Session和Cookie主要使用在会话管理中。 ###会话 ####什么是会话? 简单来讲,用户打开一个浏览器,点击多个连接,访问服务器的多个web资源,而后关闭浏览器,整个过程称之为一个会话。 会话指得是一段时间内,客户端与服务器进行了连续的通信,而http协议是无状态的,那么服务器是如何识别请求的呢?答案就是Session与Cookie对象。 ####会话解决的问题java
request不太现实,由于每次请求都是独立的,ServletContext仍是有但愿的,可是分析后发现,也是不行的,会发生冲突问题。由于ServletContext被全部Servlet共享。咱们发现,若是有一个域对象,它没有request那么独立,也没有ServletContext那么公用,而是在必定范围内的共享,这个范围就是一个用户与服务器的一段时间的通信(打开浏览器,屡次访问服务器,关闭浏览器)。web
###保存会话数据的两种技术算法
####Cookie数组
![Cookie图解][]浏览器
####Session缓存
![Session图解][]服务器
从图中能够清楚得看到,每一个客户端在服务器都有与之对应的Session对象为其存储数据。cookie
###Cookie API javax.servlet.http.Cookie类用于建立一个Cookie,response接口也中定义了一个addCookie方法,它用于在其响应头中增长一个相应的Set-Cookie头字段。 一样,request接口中也定义了一个getCookies方法,它用于获取客户端提交的Cookie。 Cookie类的方法:网络
public Cookie(String name,String value)
setValue与getValue方法,设置Cookie的值
setMaxAge与getMaxAge方法,设置Cookie的有效期,默认的有效期是会话范围的,会话结束,Cookie结束(存在缓存中)
setPath与getPath方法,设置Cookie的有效目录,例如:/demo,那么访问demo目录下的全部web资源,都会携带Cookie。默认有效目录,当前建立Cookie的程序的目录
setDomain与getDomain方法,设置Cookie的有效域,例如: .sina.com,前面有点。这个方法实际用处不大,浏览器会阻止第三方Cookie,只识别本域中的Cookie
getName方法,获取Cookie的名称
####Cookie简单应用:显示用户上次访问时间。session
####浏览器容许每一个域名所包含的Cookie数量:
- Microsoft指出InternetExplorer8增长cookie限制为每一个域名50个,但IE7彷佛也容许每一个域名50个cookie。
- Firefox每一个域名cookie限制为50个。
- Opera每一个域名cookie限制为30个。
- Safari/WebKit貌似没有cookie限制。可是若是cookie不少,则会使header大小超过服务器的处理的限制,会致使错误发生。
####当不少的cookie被设置,浏览器如何去处理
- Safari(能够设置所有cookie,无论数量多少)
- 当Cookie已达到限额,自动踢除最老的Cookie,以使给最新的Cookie一些空间。Internet Explorer和Opera使用此方法。
- Firefox很独特:虽然最后的设置的Cookie始终保留,但彷佛随机决定哪些cookie被保留。彷佛没有任何计划(建议:在Firefox中不要超过Cookie限制)。
####不一样浏览器间cookie总大小也不一样
- Firefox和Safari容许cookie多达4097个字节,包括名(name)、值(value)和等号。
- Opera容许cookie多达4096个字节,包括:名(name)、值(value)和等号。
- Internet Explorer容许cookie多达4095个字节,包括:名(name)、值(value)和等号。
- 注:多字节字符计算为两个字节。在全部浏览器中,任何cookie大小超过限制都被忽略,且永远不会被设置。
###Cookie的细节
####Cookie应用:显示用户上次浏览过的商品(注意的点:列表的个数,列表的排序,再次浏览已有商品后的排序)
> * 两个Servlet,一个是查看全部商品的Servlet(显示全部商品,显示已经浏览过的商品) > * 一个是显示商品的详情,而且把已经看过的商品加入Cookie
#Session
在WEB开发中,服务器能够为每一个用户浏览器建立一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认状况下)。所以,在须要保存用户数据时,服务器程序能够把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序能够从用户的session中取出该用户的数据,为用户服务。
Session和Cookie的主要区别在于
- Cookie是把用户的数据写给用户的浏览器
- Session技术把用户的数据写到用户独占的session中
Session对象由服务器建立,开发人员能够调用request对象的getSession方法获得session对象
- 使用Session实现简单购物功能(注意重复添加商品的问题,使用重定向来处理)
因为实际用户的需求,还须要作进一步处理(用户不当心关闭了浏览器,数据丢失、开多个浏览器购买)
###Session实现原理 Session的原理很是简单,Session的实现借助了Cookie,每次在服务器建立一个Session,同时这个Session就会有一个SessionID,在响应时,这个ID会以Cookie的形式返回给浏览器,浏览器下次再访问web服务器时,会带上这个Cookie。在服务端,根据Cookie中的ID就能够找到对应的Session,从而实现服务端的会话。
###多浏览器共享Session 对于同一个浏览器来讲,新开窗口就至关于新开启了会话(不一样浏览器支持效果不同),为了方便用户操做,能够实现Session的多浏览器共享(同一个浏览器)
缘由是由于Cookie是会话级别的,解决很简单,覆盖之前的Cookie,设置maxAge Session中存储的对象须要序列化
###禁用Cookie后实现Session共享 若是客户端禁用了Cookie,这个时候用户每次访问都会获取一个全新的Session,就失去了会话的意义,这个时候可使用URL重写技术来处理。
URL重写 response. encodeRedirectURL(java.lang.String url),response. encodeURL(java.lang.String url) URL会自动检测客户端是否禁用Cookie
###Session失效 Session默认有效时间为30分钟,手动能够配置和修改这个时限。
配置web.xml 手动杀死Session
###Session案例
- Session实现登陆验证
- Session实现一次性验证码(response验证码)
- 表单的重复提交
> * 在客户端防止表单重复提交(让提交失效、按钮只能点击一次) > * 在服务端防止表单重复提交(表单必须是动态由程序产生,表单中携带随机数;令牌) > * 令牌能够设计成一个单独的类(单例),负责产生随机数(毫秒数+随机数,这样产生的随机数长度有可能不一致,可使用数据指纹,MD5算法(数据摘要,不可逆),MD5经常使用于密码的保存、文件校验码) > * MD5码的生成,可使用Java中的**MessageDigest**类来实现 //产生一个随机数 String token = System.currentTimeMillis() + "" + new Random().nextInt(99999); //得到一个信息摘要对象,指定使用MD5算法来处理 MessageDigest messageDigest = MessageDigest.getInstance("md5"); //获取根据MD5算法处理的结果字节数组 //该数据将是一个128位的数据,一共128位,至关于16个字节,而这16个字节中表示的数字,在UTF-8码表中颇有多是没有的 byte[] md5 = messageDigest.digest(token.getBytes("UTF-8")); //将字节数据转换成字符输出 //String s = new String(md5,"UTF-8"); //这里将出现乱码,由于数字不在UTF-8的范围中 //System.out.println(s); //使用base64来将md5数据明文化 BASE64Encoder encoder = new BASE64Encoder(); String s = encoder.encode(md5); System.out.println(s);
- 要想让MD5的数据成为明文,须要使用base64编码(网络传输经常使用的编码)来完成,base64生成的各类能够认识的字母 > * base64原理:base64的原理很简单,它将三字节的书变成4个字节。三个字节一共24个二进制位,变成四个字节,那么每一个字节只有6个二进制位,而后使用“0”来填补最高的两个二进制位,这样的话,每一个字节的范围就是(00000000-00111111),0到63,一共64个数,而后有一张码表,一共就64个字符,这64个字符都是明文。
###存储域的选择 能存小域不要用大域 一次请求产生的数据就此次用,使用Request 一次请求产生的数据过一会还要用,使用Session 一次请求产生的数据不但过一会要用,并且别处还要用,使用ServletContext [Cookie图解]: http://ww2.sinaimg.cn/mw690/5ae9e02djw1ehssrdjy31j20m80ce75a.jpg [Session图解]: http://ww2.sinaimg.cn/mw690/5ae9e02djw1ehssrdqr1oj20l60bmgmg.jpg