day10_cookie&session学习笔记

一、会话概述

　　1、什么是会话？如同打电话。

　　　　　　会话可简单理解为：用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。

　　2、会话过程要解决的问题是什么？保持各个客户端自己的数据。

　　　　每个用户在使用浏览器与服务器进行会话的过程中，不可避免各自会产生一些数据，程序要想办法为每个用户保存这些数据。

　　　　例如：用户点击超链接通过一个servlet购买了一个商品，程序应该想办法保存用户购买的商品，以便于用户点结帐servlet时，结帐servlet可以得到用户购买的商品为用户结帐。

　　　　思考：用户购买的商品保存在request或servletContext中行不行？答：不行。

　　保存会话数据的两种技术：

　　　　Cookie：是客户端技术，程序把每个用户的数据以cookie的形式写给用户各自的浏览器。

　　　　当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去。

　　　　这样，web资源处理的就是用户各自的数据了。

　　　　HttpSession：Session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的HttpSession对象，

　　　　由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，

　　　　当用户再去访问服务器中的其它web资源时，其它web资源再从用户各自的session中取出数据为用户服务。

二、Cookie(饼干/小甜饼)

　　　　由于Cookie数据是由客户端来保存和携带的，所以称之为客户端技术。

　　　　javax.servlet.http.Cookie类用于创建一个Cookie，response接口中定义了一个addCookie方法，它用于在其响应消息头中增加一个相应的Set-Cookie头字段。

　　　　同样，request接口中也定义了一个getCookies方法，它用于获取客户端提交的Cookie。

　　1、属性：

　　　　name：该名称不能唯一确定一个Cookie。路径可能不同。

　　　　value：不能存中文。

　　　　path：默认值是写Cookie的那个程序的访问路径。

　　　　比如：http://localhost:8080/day10_00_cookie/servlet/ck1写的Cookie

　　　　path就是：/day10_00_cookie/servlet 即看当前创建cookie的资源（servlet）文件路径。

　　　　　　客户端在访问服务器另外资源时，根据访问的路径来决定是否带着Cookie到服务器。

　　　　　　如果当前访问的路径是以cookie的path开头的路径（包括在该路径下的子路径），浏览器就带Cookie。否则不带Cookie。

　　　　maxAge：cookie的缓存时间。默认是-1，-1指示该cookie将保留到浏览器关闭为止。（默认存在浏览器的缓存中）。单位是秒。

　　　　　　负数：表示cookie的数据存在浏览器缓存中。

　　　　　　0：表示删除。注意：路径要保持一致，否则可能删错人。

　　　　　　正数：表示缓存（持久化到磁盘上）的时间。单位是秒。

　　2、方法：

　　　　public Cookie(String name, String value) 构造方法(只有一个)

　　　　setValue与getValue方法

　　　　setMaxAge与getMaxAge方法(单位为秒)

　　　　setPath与getPath方法

　　　　setDomain与getDomain方法

　　　　getName方法

　　3、补充知识点：

　　　　面试题：Servlet负责那些事情？

　　　　1. 获取表单数据

　　　　2. 处理业务逻辑

　　　　3. 分发转向

　　案例：

　　 1. 客户端记住用户名

　　 2. 显示用户上次浏览过的商品

三、HttpSession(会话)

　　　　在WEB开发中，服务器可以为每个用户浏览器创建一个会话对象（session对象），注意：一个浏览器独占一个session对象(默认情况下)。

　　　　因此，在需要保存用户数据时，服务器程序可以把用户数据写到用户浏览器独占的session中，当用户使用浏览器访问其它程序时，其它程序可以从用户的session中取出该用户的数据，为用户服务。

　　　　Session和Cookie的主要区别在于：

　　　　Cookie是把用户的数据写给用户的浏览器。

　　　　Session技术把用户的数据写到用户独占的session中。

　　　　Session对象由服务器创建，开发人员可以调用request对象的getSession方法得到session对象。

　　1、为什么要学HttpSession?

　　　　> 它也是一个域对象: servletContext(不同浏览器) > session(同一浏览器的多个会话) > request(一个会话)

　　　　> 同一个会话下，可以使一个应用的多个资源共享数据。

　　　　> cookie是客户端技术，只能存字符串，不安全，存储少量信息，不适合存储敏感信息。HttpSession是服务器端的技术，它可以存对象。

　　2、常用方法

　　　　把数据保存在HttpSession对象中，该对象也是一个域对象。

　　　　　　void setAttribute(String name, Object value) 使用指定名称将对象绑定到此会话。如果具有同样名称的对象已经绑定到该会话，则替换该对象。

　　　　　　Object getAttribute(String name) 返回与此会话中的指定名称绑定在一起的对象，如果没有对象绑定在该名称下，则返回 null。

　　　　　　void removeAttribute(String name) 从此会话中移除与指定名称绑定在一起的对象。如果会话没有与指定名称绑定在一起的对象，则此方法不执行任何操作。

　　　　　　String getId() 返回包含分配给此会话的唯一标识符的字符串。标识符是由 servlet 容器分配的，并且是与实现相关的。

　　　　　　setMaxInactiveInterval(int interval) 设置session的存活时间(默认存活时间是30分钟)

　　　　　　void invalidate() 使此会话无效(退出网站时调用)

　　3、getSession():内部执行原理

　　　　HttpSession request.getSession():内部执行原理

　　　　　　1、获取名称为JSESSIONID的Cookie的值。例如：Cookie: JSESSIONID=070BB766FAB03E03DBF28F8040CA616F

　　　　　　2、如果没有这样的Cookie，服务器则创建一个新的HttpSession对象，并分配一个唯一的SessionID，并且向客户端写了一个名字为JSESSIONID=sessionID的Cookie。

　　　　　　3、如果有这样的Cookie，服务器则获取Cookie的值（即HttpSession对象的值），从服务器的内存中根据ID找那个HttpSession对象：

　　　　　　　　找到了：取出继续为你服务。

　　　　　　　　找不到：从2开始，创建一个新的HttpSession对象。

　　　　HttpSession request.getSession(boolean create):返回与此请求关联的当前 HttpSession，如果没有当前会话并且 create 为 true，则返回一个新会话。

　　　　　　参数：

　　　　　　　　true：和getSession()功能一样。

　　　　　　　　false：根据客户端JSESSIONID的Cookie的值，找对应的HttpSession对象，找不到返回null（但不会创建新的，只是查询）。

　　4、客户端禁用Cookie后的会话数据保存问题

　　　　　　客户端禁用Cookie：浏览器永远不会向服务器发送Cookie的请求消息头。

　　　　　　解决方案：

　　　　　　　　方案一：在主页上给出提示：请不要禁用您的Cookie。

　　　　　　　　方案二：URL重写。必须对网站的所有地址都重写。

http://url ---> http://url;JSESSIONID=070BB766FAB03E03DBF28F8040CA616F

　　　　　　　　response.encodeURL(String url);

　　　　　　　　看浏览器有没有发送Cookie请求消息头，没有就重写URL，有就不重写。

　　　　　　　　request.getSession(); // 必须写，虽然没接收