JavaWeb 会话跟踪技术Cookie和Session

超详细的Java知识点路线图

---

会话跟踪

会话就是客户端和服务器之间从连接到断开的过程。
Http协议是无状态的，也就是说断开连接后服务器不会记录用户的状态，有时候我们需要知道之前会话的用户状态，这就需要会话跟踪技术。
会话跟踪的几种实现:

1. Session
   在服务器端保存数据。
2. Cookie
   在浏览器端保存数据。
3. URL重写
   在URL中强行加入参数以实现数据传递，主要用于Cookie和Session失效的情况。

/getInfo;jsessionid=A34322BFEA000021112

4. 隐藏表单域
   在表单中附加隐藏信息

Cookie

Cookie（小饼干），是一种文本文件，保存在浏览器的某个目录中，保存用户信息。
可以保存浏览商品信息、账号、密码等。
特点：

1. 通过请求头和响应头实现浏览器和服务器的传输
2. 一般情况下Cookie文件不超过4k
3. 网站最多有300个Cookie
4. 服务器最多在客户端浏览器上保存20个Cookie

优缺点：

• 优点：文件小，使用方便
• 缺点：安全性差，长度有限，浏览器可以禁用

创建Cookie：

Cookie cookied = new Cookie("名称","值");

Cookie 常用方法：

• String getName() 返回名称
• String getValue() 返回值
• setPath(“路径”) 设置保存路径
  一般情况下setPath("/")保存到根路径
• setMaxAge(int) 设置保存时间（秒）
  正数 文件保存秒数，负数 保存到内存，0 失效

添加Cookie

HttpServletResponse对象.addCookie(Cookie对象)
在响应头中会出现Set-Cookie: name=value

读取Cookie：
先遍历Cookie数组，找到getName和查找名称相同的Cookie：

Cookie[] HttpServletRequest对象.getCookies();

注意：Cookie中不能直接保存中文
解决方法：
保存时，使用URLEncoder.encode对Cookie的名称和值进行编码
读取时，使用URLDecoder.decode对Cookie的名称和值进行解码

案例：用Cookie保存用户名

/**
 * Cookie工具类
 * @author xray
 *
 */
public class CookieUtils {

	public static final int MAX_AGE = 24 * 60 * 60;
	
	/**
	 * 保存Cookie
	 * @param resp
	 * @param name
	 * @param value
	 */
	public static void save(HttpServletResponse resp,String name,String value){
		//创建Cookie对象
		try {
			Cookie cookie = new Cookie(
					URLEncoder.encode(name, "UTF-8"),
					URLEncoder.encode(value, "UTF-8"));
			//设置路径
			cookie.setPath("/");
			//设置保存时间
			cookie.setMaxAge(MAX_AGE);
			//添加Cookie
			resp.addCookie(cookie);
		} catch (UnsupportedEncodingException e) {
			e.printStackTrace();
			throw new RuntimeException(e);
		}
	}
	
	/**
	 * 读取Cookie
	 * @param req
	 * @param name
	 * @return
	 */
	public static String read(HttpServletRequest req,String name){
		//读取Cookie数组
		Cookie[] cookies = req.getCookies();
		//查找username的Cookie
		try{
			for(Cookie cookie : cookies){
				if(name.equals(URLDecoder.decode(cookie.getName(), "UTF-8"))){
					return URLDecoder.decode(cookie.getValue(), "UTF-8");
				}
			}
		}catch(Exception ex){
			ex.printStackTrace();
			throw new RuntimeException(ex);
		}
		return null;
	}
}

通过过滤器读取Cookie

/**
 * 在登陆页面前读取Cookie
 * @author xray
 *
 */
public class ReadCookieFilter implements Filter{

	@Override
	public void destroy() {
		
	}

	@Override
	public void doFilter(ServletRequest req, ServletResponse resp, FilterChain chain)
			throws IOException, ServletException {
		//从Cookie读取账号，保存到request中
		req.setAttribute("username", 
				CookieUtils.read((HttpServletRequest)req, "username"));
		chain.doFilter(req, resp);
	}

	@Override
	public void init(FilterConfig arg0) throws ServletException {
	}
}

Session

Session就是服务器上的一块内存空间，每个用户访问网站时，都会开辟一块内存，用于保存该用户相关的数据。

Session的实现原理
问题：服务器如何知道Session是属于哪个用户的？

1. 每个用户通过浏览器访问服务器时，服务器会创建一个Session保存用户的信息
2. 创建Session同时会创建JSESSIONID字符串，用于唯一标识Session。
3. 服务器响应浏览器时，将JSSESSIONID通过Cookie保存到用户的浏览器中
4. 用户后面再访问服务器时，用户的请求会带上Cookie中的JSSESIONID
5. 服务器通过JSESSIONID查找Session对象，读取用户信息。

获取HttpSession对象：

HttpSession session = request.getSession();

主要方法

• Object getAttribute(String name) 获得数据
• void setAttribute(String name, Object value) 保存数据
• void removeAttribute(String name) 删除数据
• invalidate() 销毁Session

Session的关闭

1. 关闭服务器
2. 等待一段时间（30分钟）
   Session的时效默认是30分钟，因为保存JSessionID的Cookie时效是30分钟
   可以在web.xml中配置

    30

3. 调用invalidate方法

Session的持久化
如何保证服务器关闭后Session的数据不会丢失？

• session的钝化：服务器关闭前，将session对象序列化到磁盘上。
• session的活化：服务器启动后，将磁盘文件反序列化为session对象。

对比Cookie和Session

1. 位置：Session在服务器端，Cookie在浏览器端
2. 安全性： Cookie在浏览器端的文本文件中，容易被获取，安全性不如Session
3. 数据量：Cookie只能保存少量数据，Session没有限制