Servlet Cookie、Session

HTTP不能保持连接，可使用会话保存用户信息。

常用的会话技术有2种：Cookie、Session。

Cookie

1、原理

当用户第一次访问某个网站时，服务器设置Cookie，存储用户信息，放在响应头字段中，随HTTP响应传给浏览器，浏览器把Cookie存储到本地计算机上。

当用户再次访问该网站时，浏览器先在本地计算机上查找该网站的Cookie，如果有，放在请求头中，随HTTP请求一起发送给该网站的服务器。服务器解析Cookie，获取该用户的信息，进行相关操作。

服务器可重新设置Cookie，随HTTP响应传递给浏览器，由浏览器更新本地的cookie。

2、常用方法

• Cookie(String name, String value)   //构造函数，name、value均为String。创建一个Cookie后，它的name不能被更改。
• Cookie[]  cookies = request.getCookies();   //获取请求头中的所有Cookie

• void  setValue(String value)    //Cookie的name不能被修改，所以没有setName()方法

• void  setMaxAge(int expiry)   //设置此Cookie的有效期，从当前时间起，在浏览器上多少秒内有效。

缺省时默认只在本次会话期间有效，当我们关闭此浏览器时，会话结束，此Cookie失效，注意是关闭浏览器整个程序，不是关闭浏览器某个窗口。

为0时，浏览器会立即清除此Cookie。

为负整数时，此Cookie只在本次会话期间有效。

• void  setPath(String url)   //设置此Cookie的作用页面。缺省时默认只对当前页面所在目录有效。

比如包servlet下有一个LoginServlet，我在LoginServlet中设置了一个Cookie，如果不给这个Cookie设置path，则默认此Cookie只在servlet包中有效（servlet包下的所有页面均可使用此Cookie）。设置为全站可用：cookie.setPath("/")，本站所有页面均可使用此Cookie。

这个不常用，因为Cookie一般都是作用于当前网站。

• void  setDomain(String domain)   //设置此Cookie作用的网站（隶属于哪个网站），缺省时默认为当前网站。

浏览器访问一个url之前，会先根据url中的domain查找本地计算机上所有属于该domain的Cookie，把这些Cookie都加到请求头中，发送给该网站的服务器。

比如我设置一个Cookie的domain为百度： cookie.setDomain(".baidu.com"); （需要去掉www）

浏览器访问百度这个网站上的页面时，会把此Cookie添加到请求头中，随请求一同发送给百度的服务器。

• response.addCookie(Cookie  cookie);   //把一个Cookie添加到响应头中，这样Cookie才会被传递给浏览器。

• String  getName()
• String  getValue()
• String  getMaxAge()
• String getPath()
• String  getDomain()

3、使用示例

 @WebServlet("/testServlet")
 public class TestServlet extends HttpServlet {
     protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
         doGet(request,response);
     }

     protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
         request.setCharacterEncoding("utf-8");
         response.setContentType("text/html;charset=utf-8");
         PrintWriter writer = response.getWriter();

         String name=null;
         Cookie[] cookies = request.getCookies();
         if(cookies!=null){
             for(int i=0;i<cookies.length;i++){   //用增强的for循环写遍历更简单
                 if(cookies[i].getName().equals("name")){  //获取用户名
                     name = cookies[i].getValue();
                     writer.write(cookies[i].getValue()+"，你好！");
                 }
             }
         }
         if(name==null){
             writer.write("请先登录，3秒后将自动跳转到登录页面");
             response.setHeader("refresh","3;url=./login.jsp");
         }

     }
 }

 String name="chy";  //注册|登录成功后，从表单获取用户信息，存储到Cookie中。这里只是模拟获取到的用户名。
             Cookie cookie=new Cookie("name",name);
             cookie.setMaxAge(60*60*24*365);   //一年有效
             cookie.setPath("/");   //全站可用，本站的所有页面都可以使用此Cookie获取用户名
             response.addCookie(cookie);  //需要添加到response中才会生效。如果要设置、更新多个Cookie，需要一个一个地添加

4、Cookie的2种更新方式

 //遍历，获取指定的Cookie。
         for (Cookie cookie:cookies){
             if (cookie.getName().equals("name")){
                 cookie.setValue("chy");  //使用setXxx()修改Cookie
                 response.addCookie(cookie);  //必须使用此句代码才会同步到浏览器
             }
         }

 //使用同名的Cookie来覆盖
         Cookie nameCookie=new Cookie("name","chy");
         nameCookie.setMaxAge(60*60*24*365);
         nameCookie.setPath("/");
         response.addCookie(nameCookie);

Cookie存储的是一个键值（name/value）对，浏览器端存储的Cookie由键(name)唯一标识。所以可以使用同名覆盖来更新Cookie。

但新创建的Cookie，如果不设置maxAge、path，会使用默认值。如果只更新Cookie的value，还需要设置maxAge、path，以确保maxAge、path不变。

5、在Chrome中查看当前网站Cookie的4种方式

（1）点击地址栏中的带圈的i或者小锁

小锁表示此网站是安全的，带圈的i表示此网站是不安全的。

点击某个Cookie，再点删除，可删除该Cookie。

点击该网站的域名，再点删除，会删除该网站所有的Cookie。

点击该网站的域名，再点禁止，该网站不能在此计算机上存储Cookie（浏览器会自动删除该网站已存储的Cookie）。

（2）f12 -> Application -> Storage -> Cookies

（3）f12 -> Console -> 输入 document.cookie 可查看本网站所有的Cookie，输入 document.cookie="" 即可修改Cookie。

这种方式设置的是整个网站的Cookie，不是某个Cookie。所以一般是把document.cookie得到的值复制下来，修改里面的某些Cookie，然后以字符串的形式赋给document.cookie。

（4）设置 -> 高级 -> 隐私设置和安全性 -> 网站设置 -> Cookie -> 查看所有Cookie和网站数据

说明

• Cookie由浏览器自己存储，各浏览器之间不共享Cookie。

比如我在Chrome中打开了某网站，该网站在Chrome中存储了Cookie，这些Cookie算是Chrome的私有数据，其它浏览器读取不到（不会共享给其它浏览器）。

• 有时，浏览器会自动给一些网站设置一些额外的Cookie，比如_ga，_gid。

Session

1、原理

使用Cookie把会话信息保存在浏览器上，每次HTTP请求都要把Cookie添加到请求头中，服务器要从request中逐一解析Cookie，如果Cookie很多，速度会很慢。

Session是把会话信息保存在服务器上内存中，使用SessionId来唯一标识会话信息。把SessionId作为Cookie保存到浏览器上，浏览器访问页面时，会自动把该网站的SessionID这个Cookie添加到请求头中，随HTTP请求发送给服务器。服务器根据SessionId调取相应的Session，获取会话信息。

2、超时管理

当浏览器第一次访问该网站时，该网站的服务器上会创建一个Session对象来存储会话信息。

但服务器不知道浏览器会不会还会再次访问服务器，这个Session还要不要保留。如果一直保留，服务器上的Session对象会越来越多，最终耗尽服务器内存。

服务器可以设置超时时间，tomcat -> conf ->web.xml -> <session-config>：

<!-- ==================== Default Session Configuration ================= -->
  <!-- You can set the default session timeout (in minutes) for all newly   -->
  <!-- created sessions by modifying the value below.                       -->

    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>

默认为30分钟。如果30分钟内，该Session没有被使用，（客户端没有再次访问），服务器会自动清除该Session，原来的会话信息丢失。

之后浏览器再次访问服务器时，request中有SessionId，但服务器上没有对应的Session对象，服务器会自动创建一个新的Session对象，把新的SessionId添加到响应头中，覆盖掉浏览器中原来的SessionId。

3、HttpSession的常用方法

• HttpSession  request.getSession(true)    //从request中获取HttpSession对象。参数是一个boolean，表示request没有获取到HTTPSession对象怎么处理，true——自动创建并返回一个HttpSession对象，false——不自动创建，直接返回null。
• HttpSession  request.getSession()    //从request中获取HttpSession对象，如果不存在，则自动创建并返回。一般用这个。

这2个方法的执行过程（第一个的参数为true）：

从遍历request中的Cookie，找到JSESSIONID这个Cookie，获取值（SessionId），根据值获取服务器内存中相应的Session对象，并返回这个Session对象。

如果没有获取到Session对象（首次访问或Session超时已被清除），则自动创建一个新的Session对象并返回，创建新的Session对象时，会产生一个新的SessionId，服务器会自动把这个SessionId作为Cookie添加到响应头中。

• String  session.getId()   //获取创建新Session时产生的SessionId。
• session.setAttribute(String name, Object  value)    //往指定Session中存储数据
• Object   session.getAttribute(String name)
• void  session.removeAttribute(String name)
• void  session.invalidate()   //强制使此Session对象失效，会删除此Session对象。除了等超时管理的时间到使Session失效，还可以用此方法使Session立刻失效。

4、使用示例

 HttpSession session = request.getSession();
        session.setAttribute("name","张三");

如果request中没有SessionId，或者request中有SessionId，但服务器内存中没有对应的Session（Session超时被清除），那么服务器会自动创建Session，并会自动创建 Cookie cookie=new Cookie("JSESSIONID"，session.getId()) 这个Cookie，把这个cookie添加到响应头传回给浏览器，保存到客户端计算机上。

有一个问题：这个Cookie没有显式设置有效期，默认本次会话结束时Cookie失效。如果中途把浏览器关了，没到超时时间（Tomcat默认为30min），服务器上Session仍在，但保存SessionId的Cookie已经失效了，服务器从request中读取不到SessionId，也就找不到对应的Session。就是说如果中途关闭浏览器，会话信息会丢失。

解决方式：显式设置Cookie的有效期。

 HttpSession session = request.getSession();
        Cookie cookie=new Cookie("JSESSIONID",session.getId()); //name要用JSESSIONID，J表示Java
        cookie.setMaxAge(60*60*24*365);  //显式设置SessionId的有效期
        response.addCookie(cookie);  //此句代码尽量靠前（早点添加到响应消息头中）
        PrintWriter writer = response.getWriter();

这样，访客中途关掉浏览器，再次打开浏览器进行访问时，会话信息依然在。

 HttpSession session = request.getSession();
        String name =(String) session.getAttribute("name");  //返回值是Object