JSP学习笔记（三）：Session和Cookie

一、JSP Session

　　HTTP是无状态协议，这意味着每次客户端检索网页时，都要单独打开一个服务器连接，因此服务器不会记录下先前客户端请求的任何信息。有三种方法来维持客户端与服务器的会话：

1、Cookies

　　网络服务器可以指定一个唯一的session ID作为cookie来代表每个客户端，用来识别这个客户端接下来的请求。这可能不是一种有效的方式，因为很多时候浏览器并不一定支持cookie，所以我们不建议使用这种方法来维持会话。

2、隐藏表单域

　　一个网络服务器可以发送一个隐藏的HTML表单域和一个唯一的session ID，就像下面这样：

<input type="hidden" name="sessionid" value="">

　　这个条目意味着，当表单被提交时，指定的名称和值将会自动包含在GET或POST数据中。每当浏览器发送一个请求，session_id的值就可以用来保存不同浏览器的轨迹。这种方式可能是一种有效的方式，但点击<a href>标签中的超链接时不会产生表单提交事件，因此隐藏表单域也不支持通用会话跟踪。

3、重写URL

　　您可以在每个URL后面添加一些额外的数据来区分会话，服务器能够根据这些数据来关联session标识符。举例来说，http://w3cschool.cc/file.htm;sessionid=12345， session标识符为sessionid=12345，服务器可以用这个数据来识别客户端。相比而言，重写URL是更好的方式来，就算浏览器不支持cookies也能工作，但缺点是您必须为每个URL动态指定session ID，就算这是个简单的HTML页面。

4、session对象

　　除了以上几种方法外，JSP利用servlet提供的HttpSession接口来识别一个用户，存储这个用户的所有访问信息。

　　默认情况下，JSP允许会话跟踪，一个新的HttpSession对象将会自动地为新的客户端实例化。禁止会话跟踪需要显式地关掉它，通过将page指令中session属性值设为false来实现，就像下面这样：

<%@ page session="false" %>

　　JSP引擎将隐含的session对象暴露给开发者。由于提供了session对象，开发者就可以方便地存储或检索数据。

　　下面列出了session对象的一些重要方法：

public Object getAttribute(String name)：返回session对象中与指定名称绑定的对象，如果不存在则返回null

public Enumeration getAttributeNames()：返回session对象中所有的对象名称

public long getCreationTime()：返回session对象被创建的时间， 以毫秒为单位，从1970年1月1号凌晨开始算起

public String getId()：返回session对象的ID

public long getLastAccessedTime()：返回客户端最后访问的时间，以毫秒为单位，从1970年1月1号凌晨开始算起

public int getMaxInactiveInterval()：返回最大时间间隔，以秒为单位，servlet 容器将会在这段时间内保持会话打开

public void setMaxInactiveInterval(int interval)：用来指定时间，以秒为单位，servlet容器将会在这段时间内保持会话有效

public void invalidate()：将session无效化，解绑任何与该session绑定的对象

public boolean isNew()：返回是否为一个新的客户端，或者客户端是否拒绝加入session

public void removeAttribute(String name)：移除session中指定名称的对象

public void setAttribute(String name, Object value) ：使用指定的名称和值来产生一个对象并绑定到session中

5、JSP Session应用

　　这个例子描述了如何使用HttpSession对象来获取创建时间和最后一次访问时间。我们将会为request对象关联一个新的session对象，如果这个对象尚未存在的话。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.io.*,java.util.*" %>
<%
   // 获取session创建时间
   Date createTime = new Date(session.getCreationTime());
   // 获取最后访问页面的时间
   Date lastAccessTime = new Date(session.getLastAccessedTime());

   String title = "再次访问菜鸟教程实例";
   Integer visitCount = new Integer(0);
   String visitCountKey = new String("visitCount");
   String userIDKey = new String("userID");
   String userID = new String("ABCD");//声明并初始化

   // 检测网页是否由新的访问用户
   if (session.isNew()){
      title = "访问菜鸟教程实例";
      session.setAttribute(userIDKey, userID);
      session.setAttribute(visitCountKey,  visitCount);//使用指定的名值对产生对象并绑定到session中
   } else {    //非新访问用户
       visitCount = (Integer)session.getAttribute(visitCountKey);
       visitCount += ;
       userID = (String)session.getAttribute(userIDKey);
       session.setAttribute(visitCountKey,  visitCount);
   }
%>
<html>
<head>
<title>Session 跟踪</title>
</head>
<body>
<h1>Session 跟踪</h1>
<table border="" align="center">
<tr bgcolor="#949494">
   <th>Session 信息</th>
   <th>值</th>
</tr>
<tr>
   <td>id</td>
   <td><% out.print( session.getId()); %></td>
</tr>
<tr>
   <td>创建时间</td>
   <td><% out.print(createTime); %></td>
</tr>
<tr>
   <td>最后访问时间</td>
   <td><% out.print(lastAccessTime); %></td>
</tr>
<tr>
   <td>用户 ID</td>
   <td><% out.print(userID); %></td>
</tr>
<tr>
   <td>访问次数</td>
   <td><% out.print(visitCount); %></td>
</tr>
</table>
</body>
</html>

再次访问：

6、删除Session数据

　　当处理完一个用户的会话数据后，您可以有如下选择：

• 移除一个特定的属性：调用public void removeAttribute(String name)  方法来移除指定的属性。
• 删除整个会话：调用public void invalidate() 方法来使整个session无效。
• 设置会话有效期：调用 public void setMaxInactiveInterval(int interval)  方法来设置session超时。
• 登出用户：支持servlet2.4版本的服务器，可以调用 logout()方法来登出用户，并且使所有相关的session无效。
• 配置web.xml文件：如果使用的是Tomcat，可以向下面这样配置web.xml文件：

<session-config>
    <session-timeout></session-timeout>
</session-config>

　　超时以分钟为单位，Tomcat中的默认的超时时间是30分钟。Servlet中的getMaxInactiveInterval( ) 方法以秒为单位返回超时时间。如果在web.xml中配置的是15分钟，则getMaxInactiveInterval( ) 方法将会返回900。

二、JSP Cookie 处理

　　Cookie是存储在客户机的文本文件，它们保存了大量轨迹信息。在servlet技术基础上，JSP显然能够提供对HTTP cookie的支持。

　　通常有三个步骤来识别回头客：

• 服务器脚本发送一系列cookie至浏览器。比如名字，年龄，ID号码等等。
• 浏览器在本地机中存储这些信息，以备不时之需。
• 当下一次浏览器发送任何请求至服务器时，它会同时将这些cookie信息发送给服务器，然后服务器使用这些信息来识别用户或者干些其它事情。

//JSP Cookie 处理需要对中文进行编码与解码，方法如下：
String   str   =   java.net.URLEncoder.encode("中文"，"UTF-8");            //编码
String   str   =   java.net.URLDecoder.decode("编码后的字符串","UTF-8");   // 解码

1、Cookie 剖析

　　Cookie通常在HTTP信息头中设置（虽然JavaScript能够直接在浏览器中设置cookie）。在JSP中，设置一个cookie需要发送如下的信息头给服务器：

HTTP/1.1  OK
Date: Fri,  Feb  :: GMT
Server: Apache/1.3. (UNIX) PHP/.0b3
Set-Cookie: name=runoob; expires=Friday, 04-Feb-07 22:03:38 GMT;
                 path=/; domain=runoob.com
Connection: close
Content-Type: text/html

　　正如您所见，Set-Cookie信息头包含一个键值对，一个GMT（格林尼治标准）时间，一个路径，一个域名。键值对会被编码为URL。有效期域是个指令，告诉浏览器在什么时候之后就可以清除这个cookie。

　　如果浏览器被配置成可存储cookie，那么它将会保存这些信息直到过期。如果用户访问的任何页面匹配了cookie中的路径和域名，那么浏览器将会重新将这个cookie发回给服务器。浏览器端的信息头长得就像下面这样：

GET / HTTP/1.0
Connection: Keep-Alive
User-Agent: Mozilla/4.6 (X11; I; Linux 2.2.-15apmac ppc)
Host: zink.demon.co.uk:
Accept: image/gif, */*
Accept-Encoding: gzip
Accept-Language: en
Accept-Charset: iso-8859-1,*,utf-8
Cookie: name=xyz

　　JSP脚本通过request对象中的getCookies()方法来访问这些cookie，这个方法会返回一个Cookie对象的数组。

2、Servlet Cookie 方法

public void setDomain(String pattern)：设置cookie的域名，比如w3cschool.cc

public String getDomain()：获取cookie的域名，比如w3cschool.cc

public void setMaxAge(int expiry)：设置cookie有效期，以秒为单位，默认有效期为当前session的存活时间

public int getMaxAge()：获取cookie有效期，以秒为单位，默认为-1 ，表明cookie会活到浏览器关闭为止

public String getName()：返回 cookie的名称，名称创建后将不能被修改

public void setValue(String newValue)：设置 cookie的值

public String getValue()：获取cookie的值

public void setPath(String uri)：设置cookie 的路径，默认为当前页面目录下的所有URL，还有此目录下的所有子目录

public String getPath()：获取cookie 的路径

public void setSecure(boolean flag)：指明cookie是否要加密传输

public void setComment(String purpose)：设置注释描述 cookie的目的。当浏览器将cookie展现给用户时，注释将会变得非常有用

public String getComment()：返回描述cookie目的的注释，若没有则返回null

3、使用JSP设置Cookie

　　使用JSP设置cookie包含三个步骤：

　　(1)创建一个Cookie对象： 调用Cookie的构造函数，使用一个cookie名称和值做参数，它们都是字符串。

Cookie cookie = new Cookie("key","value");
//请务必牢记，名称和值中都不能包含空格或者如下的字符：[ ] ( ) = , " / ? @ : ;

　　(2) 设置有效期：调用setMaxAge()函数表明cookie在多长时间（以秒为单位）内有效。下面的操作将有效期设为了24小时。

cookie.setMaxAge(**); 

　　(3) 将cookie发送至HTTP响应头中：调用response.addCookie()函数来向HTTP响应头中添加cookie。

response.addCookie(cookie);

4、实例演示：

（1）设置cookie：

　　main.jsp 文件代码如下所示：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<%
   // 编码，解决中文乱码
   String str = URLEncoder.encode(request.getParameter("name"),"utf-8");
   // 设置 name 和 url cookie
   Cookie name = new Cookie("name",
           str);
   Cookie url = new Cookie("url",
              request.getParameter("url"));

   // 设置cookie过期时间为24小时。
   name.setMaxAge(**);
   url.setMaxAge(**); 

   // 在响应头部添加cookie
   response.addCookie( name );
   response.addCookie( url );
%>
<html>
<head>
<title>设置 Cookie</title>
</head>
<body>
<h1>设置 Cookie</h1>
<ul>
<li><p><b>网站名:</b>
   <%= request.getParameter("name")%>
</p></li>
<li><p><b>网址:</b>
   <%= request.getParameter("url")%>
</p></li>
</ul>
</body>
</html>

　　以下是一个简单的 HTML 表单通过GET方法将客户端数据提交到 main.jsp 文件中,并设置 cookie：

<!DOCTYPE html>
<html>
<head>
<meta charset="utf-8">
<title>设置cookie</title>
</head>
<body>
<form action="main.jsp" method=GET>
站点名: <input type="text" name="name">
<br />
网址: <input type="text" name="url" />
<input type="submit" value="提交" />
</form>
</body>
</html>

　　将以上HTML代码保存到test.htm文件中。将该文件放置于当前jsp项目的 WebContent 目录下（与 main.jsp 同一个目录）。通过访问 http://localhost:8080/testjsp/test.html 提交表单数据到 main.jsp 文件，试着输入 "站点名" 和 "网址"，然后点击提交按钮，它将会在您的屏幕中显示 "站点名" 和 "网址"，并且设置 "站点名" 和 "网址" 的两个 cookie。

（2）读取 Cookie：

　　想要读取cookie，您就需要调用request.getCookies()方法来获得一个javax.servlet.http.Cookie对象的数组，然后遍历这个数组，使用getName()方法和getValue()方法来获取每一个cookie的名称和值。让我们来读取上个例子中的cookie, 以下为 cookie.jsp 文件代码：

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>获取 Cookie</title>
</head>
<body>
<%
   Cookie cookie = null;
   Cookie[] cookies = null;
   // 获取cookies的数据,是一个数组
   cookies = request.getCookies();
   if( cookies != null ){
      out.println("<h2> 查找 Cookie 名与值</h2>");
      for (int i = ; i < cookies.length; i++){
         cookie = cookies[i];

         out.print("参数名 : " + cookie.getName());
         out.print("<br>");
         out.print("参数值: " + URLDecoder.decode(cookie.getValue(), "utf-8") +" <br>");
         out.print("------------------------------------<br>");
      }
  }else{
      out.println("<h2>没有发现 Cookie</h2>");
  }
%>
</body>
</html>

（3）删除Cookie：

　　删除cookie非常简单。如果您想要删除一个cookie，按照下面给的步骤来做就行了：

• 获取一个已经存在的cookie然后存储在Cookie对象中。
• 将cookie的有效期设置为0。
• 将这个cookie重新添加进响应头中。

　　下面的程序删除一个名为"name"的cookie，当您第二次运行cookie.jsp时，name 将会为 null。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%@ page import="java.net.*" %>
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>获取 Cookie</title>
</head>
<body>
<%
   Cookie cookie = null;
   Cookie[] cookies = null;
   // 获取当前域名下的cookies，是一个数组
   cookies = request.getCookies();
   if( cookies != null ){
      out.println("<h2> 查找 Cookie 名与值</h2>");
      for (int i = ; i < cookies.length; i++){
         cookie = cookies[i];
         if((cookie.getName( )).compareTo("name") == 0 ){
            cookie.setMaxAge(0);
            response.addCookie(cookie);
            out.print("删除 Cookie: " +
            cookie.getName( ) + "<br/>");
         }
         out.print("参数名 : " + cookie.getName());
         out.print("<br>");
         out.print("参数值: " + URLDecoder.decode(cookie.getValue(), "utf-8") +" <br>");
         out.print("------------------------------------<br>");
      }
  }else{
      out.println("<h2>没有发现 Cookie</h2>");
  }
%>
</body>
</html>