java_第一年_JavaWeb（6）

会话

会话：浏览器从打开一个进程访问服务器到该浏览器关闭，我们称之为一个会话；

在浏览器和服务器交互期间，会不可避免地产生一些数据，而为了为每个用户保存其对应的数据，可使用两种技术：Cookie和Session；

Cookie

客户端技术，服务器会把用户的数据以cookie的形式写给每个客户端，当其再次访问时，就会携带相关的数据，这样使得服务器可以区分客户端处理数据；

Cookie在java中是通过javax.servlet.http.Cookie类创建的；其提供的方法有：

Cookie(String name , String value);//实例化Cookie对象，传入其名称和值
public String getNme（）；//取得Cookie的名称
public String getValue()；//取得Cookie的值
public void setValue（String newValue）；//设置Cookie的值
public void setMaxAge（int expiry）；//设置Cookie最大的保存时间
public int getMaxAge();//获取Cookies的有效期，单位是秒
public void setPath（String uri）；//设置cookie的有效路径，即在访问哪些路径时是自带Cookie的
public String getPath（）；//获取cookie的有效路径
public void setDomain（String pattern）；//设置cookie的有效域
public String getDomain（）；//获取cookie的有效域

运用Cookie为每个浏览器都设置一个Cookie，并检查该请求是否已携带cookie：

import javax.servlet.http.Cookie;
PrintWriter out = resppnse.getWriter();
Cookie[] cookies = request.getCookies();
if (cookies != null){
    for (int i = 0,i<cookies.length,i++){
        Cookie cookie = cookies[i];
//找到所要核对的cooki名
        if (cookie.getName().equals("lastaccesstime")){
            Long  lastaccesstime = Long.parseLong(cookie.getValue());
            Date date = new Date(lastaccesstime);
            out.write(date.toLocaleString());//将之前的cookie值转换为日期格式并输出
            }
        }
    }else{
        out.write("第一次访问本站");
    }
Cookie cookie = new Cookie ("lastacccesstime",System.currentTimeMillis()+"");//无论是否第一次访问都为cookie设置当前的时间值
response.addCookie(cookie);//将新的cookie添加到response中并输出到客户端    

一个Cookie只能标识一种信息，即一个web站点可以给同一个浏览器发送多个站点，一个浏览器也可以储存不同站点的Cookie标识；

如果不使用getMaxAge（）将cookie保存到硬盘中的话，其信息是储存在内存中的，即关闭浏览器下次再登录是找不到原来的Cookie信息；删除Cookie时将其时间设置为0即相当于删除；

存储中文时需要使用URLEncoder类中的encode（String s，String enc）方法进行中文转码；

Cookie cookie = new Cookie（"name",URLEncoder.encode("小兆","UTF-8")）;

获取cookie中文时也需用URLEncoder类中的decode（String s ，String enc）进行解码；

URLDecoder.decode(cookies[i].getValue(),"UTF-8");

Session

服务器为每个用户浏览器都创建一个Session对象，用于保存用户数据，当用户去访问服务器其他程序时，其他程序可以通过用户的Session取出该用户的数据，为用户服务；

与Cookie的区别主要是：Cookie是写给浏览器，而Session是存在于服务器，当需要调用时，通过request对象的getSession方法得到Session对象；

getSession（）方法会自动判断是否已存在session，如有，则调用，如没有，则创建；且一个session会有一个自己的ID以cookie的形式发送给浏览器，所以getSession（）方法中应该存在创建sessionID且将其传给Cookie对象的程序过程；

判断是否已存在session：

HttpSession session = request.getSession();
session.setAttribute("data","小兆");//记得前面需将字符编码改为"UTF-8"
String sessionID= session.getID();
if(session.isNew()){
    response.getWriter().print("创建成功，其session的id是："+sessionID);
}else{
     response.getWriter().print("已存在session，其session的id是："+sessionID);
     }

session对象默认30分钟没有使用，则服务器会自动销毁session，在web.xml文件中可以手工配置session的失效时间；

<session-config>
        <session-timeout>12</session-tiomeout>
</session-config>

防止表单进行多次提交

在客户端防止：

<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML>
<html>
  <head>
    <title>Form表单</title>
        <script type="text/javascript">
        var isCommitted = false;//表单是否已经提交标识，默认为false
        function dosubmit(){
            if(isCommitted==false){
                isCommitted = true;//提交表单后，将表单是否已经提交标识设置为true
                return true;//返回true让表单正常提交
            }else{
                return false;//返回false那么表单将不提交
            }
        }
    </script>
  </head>

  <body>
      <form action="${pageContext.request.contextPath}/servlet/DoFormServlet" onsubmit="return dosubmit()" method="post">
        用户名：<input type="text" name="username">
        <input type="submit" value="提交" id="submit">
    </form>
  </body>
</html>

可以通过运用JavaScript本身对其提交进行控制；

在服务端防止，在服务器上生成一个唯一标识码，称为Token令牌；在用户的session中保存Token并将其送往Form表单中，而form表单使用隐藏

域来储存Token，提交的时候一同提交到服务器中，此时服务器就根据session中的Token和提交上来的Token进行比较，如果一样，则提交成功，且在成功后将其Token信息在session中删除；如果发现表单或服务器中没携带Token或者其值不一致，则拒绝其表单提交；

生成唯一标识码并存储在session中，随后跳转到xxx.jsp页面：

String token = TokenProccessor.getInstance().makeToken();//创建令牌
request.getSession().setAttribute("token", token);  //在服务器使用session保存token(令牌)
request.getRequestDispatcher("/xxx.jsp").forward(request, response);//跳转到form.jsp页面

编辑xxx.jsp页面，设置from表单，使用隐藏域来储存Token：

<form action="${pageContext.request.contextPath}/xxx" method="post">
    <input type="hidden" name="token" value="${token}"/>
    用户名：<input type="text" name="username">
    <input type="submit" value="提交">
</form>

对比表单提交上来的以及服务器session对象储存的Token的值，判断是否处理请求：

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

public class DoFormServlet extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
                throws ServletException, IOException {

            boolean b = isRepeatSubmit(request);//判断用户是否是重复提交
            if(b==true){
                System.out.println("请不要重复提交");
                return;
            }
            request.getSession().removeAttribute("token");//移除session中的token
            System.out.println("处理用户提交请求！！");
        }

        /**
         * 判断客户端提交上来的令牌和服务器端生成的令牌是否一致
         * @param request
         * @return
         *         true 用户重复提交了表单
         *         false 用户没有重复提交表单
         */
        private boolean isRepeatSubmit(HttpServletRequest request) {
            String client_token = request.getParameter("token");
            //1、如果用户提交的表单数据中没有token，则用户是重复提交了表单
            if(client_token==null){
                return true;
            }
            //取出存储在Session中的token
            String server_token = (String) request.getSession().getAttribute("token");
            //2、如果当前用户的Session中不存在Token(令牌)，则用户是重复提交了表单
            if(server_token==null){
                return true;
            }
            //3、存储在Session中的Token(令牌)与表单提交的Token(令牌)不同，则用户是重复提交了表单
            if(!client_token.equals(server_token)){
                return true;
            }

            return false;
        }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}

关于前面的创建令牌方法大家可以自己实现即可，保证其唯一性；