Web核心之会话技术Cookie&Session

什么是会话技术？

http协议是无状态协议。为了满足在多次请求之间数据进行交互，推出了会话技术。

会话概念：一次会话，指的是从客户端和服务器建立起连接开始，到客户端或服务器断开连接为止。中间可能进行多次的请求和响应的过程。

会话分类:根据存储位置的不同，我们把会话技术分为两类。

客户端会话技术：Cookie

服务器端会话技术：Session

Cookie

Cookie入门，关闭浏览器后不保存cookie

创建并设置：

直接new即可，Cookie只有有参构造。Cookie是键值对格式的数据，

可以创建多个cookie对象，由于是键值对，key相同的cookie会被覆盖掉。

获取cookie：

演示：

先在浏览器中输入：http://localhost/ServletCookie

后再浏览器中输入：http://localhost/getCookie

原理

当我们设置cookie时，底层实际是在响应头中添加了一个set-cookie的头。里面设置了cookie的键值对。

当我们发送请求时，浏览器会自动把符合规则的cookie放入请求头中。使用cookie头携带cookie的键值对到服务器。

Cookie持久化，关闭浏览器依然保存cookie一段时间

1. 默认情况下，Cookie会存储在浏览器的内存中。是一个临时数据，一旦会话结束（浏览器关闭），cookie就会被销毁掉。
2. 当我们调用Cookie的setMaxAge()方法时，
   
   如果指定一个正数，就可以把Cookie持久化。
   
   
   
   Cookie的name要保持一致。

Cookie要删除，除了设置maxAge为0之外，还需要设置Cookie的path与要删除的cookie保持一致，如果要删除的Cookie有domain，也需要设置domain与其保持一致。

Cookie存储中文

理论上是不支持的。因为Cookie的数据是在头中，HTTP协议的头中不允许出现中文。

我们可以使用URL编码和解码的方式进行特殊字符的存储。

存储的时候:

获取的时候:

Cookie的有效路径setPath()

全局共享：

一个tomcat下部署的多个web项目能不能共享cookie信息需要设置setPath()，setPath("/")为服务器共享。

特定web项目共享：

此处指定一个路径，当浏览器发送请求时，如果请求的路径和指定的path规则相同，则会把该cookie携带过去。

setPath("/day16/aaa")

如果访问 http://localhost:8080/day16/servletDemo1,cookie是不会携带的

如果访问 http://localhost:8080/day16/aaa/servletDemo1,cookie是会携带的

默认共享范围：

如果不手动指定Path，cookie会设置一个默认的path。规则是：

请求某个资源，如果响应中设置了cookie，默认会根据该资源的访问路径，截取到最后一个/作为path。

例如：

假设访问http://localhost:8080/day16/aaa/servletDemo1，响应中返回了一个cookie，那么它的默认path为 /day16/aaa

假设访问http://localhost:8080/day16/servletDemo1，响应中返回了一个cookie，那么它的默认path为 /day16

因为默认设置十分混乱，所以推荐在设置cookie时，手动明确设置一个有效路径。

一般设置为项目的虚拟目录，或者 /

Cookie的有效域名setDomain()

一般指定一个一级域名， 当一级域名相同时，该cookie都会携带过来例如：setDomain(".baidu.com")

Cookie特点：

数据存放在客户端，安全性比较差

数据只能存储字符串，而且数据存储的大小和cookie的数量都有限制。

cookie一般用于存储少量的，对安全要求不高的数据。

例题：

Session

概念：服务器端会话技术，在一次会话的多次请求间共享数据，将数据保存在服务器端的HttpSession对象中。

服务器端会话技术：

域对象

作用范围：一次会话，每个不同的浏览器发起会话时创建不同的session，所以session是会话级的技术

创建：在一次会话中，服务器端第一次调用request.getSession()时会创建session

销毁：session存储在服务器，与浏览器无关

1. 服务器关闭

2. session.invalidate()session自杀

3. 如果session空闲时间超过配置的超时时间，则会自动销毁。

session的失效时间

在web.xml中配置即可:

细节：

当客户端关闭后，服务器不关闭，两次获取session是否为同一个？

默认情况下，不是。因为客户端关闭后再次链接服务器，不再是原来的cookie头。

以下是两次session的地址，可见的确不同。

如何解决这种问题?(不推荐解决这种问题，违背设计初衷)

可以创建Cookie,键为JSESSIONID，设置最大存活时间，让cookie持久化保存

客户端不关闭，服务器关闭后，两次获取的session是同一个吗？

不是，服务器都关了，session肯定没了。但是服务器关闭更新需要保留用户信息，这里需要服务器的钝化和活化。

session的钝化和活化

钝化(序列号)：服务器正常关闭时，把内存中的session对象序列化到硬盘上进行存储。

注意：如果session中存储了对象，想要在钝化时把存储的对象也一并序列化。该对象必须实现序列化接口。

活化(反序列化)：服务器启动时，把硬盘上的session文件反序列化到内存中，生成一个session对象，和之前存储的session对象的数据和id都一致。

获取：
	request.getSession()

session的原理:

session底层是基于cookie实现的。在请求和响应时，cookie会存储或携带session的id进行交互。

第一次获取session，没有cookie，这时候会在内存中创建一个新的session对象，这个session有唯一id:xxxxxxxxxx

给浏览器做响应时，会把响应头的set-cookie:JSESSIONID=xxxxxxxxxx 发给浏览器。浏览器接收这个对象，

下次浏览器访问资源的时候就会携带这个响应头，通过请求头cookie携带JSESSIONID=xxxxxxxxxx 。

服务器会根据这个cookie信息里的JSESSIONID，去找这个session对象[HttpSession session = request.getSession();]，

所以就找到了这个session对象，session对象唯一。服务器就是通过cookie的方式确保session在一次范围内多次获取是同一个。

Cookie和Session的区别

Cookie

1. 数据存放在客户端，安全性比较差

2. 数据只能存储字符串，而且数据存储的大小和cookie的数量都有限制。

3. cookie一般用于存储少量的，对安全要求不高的数据。

Session

1. 数据存放在服务器端，安全性比较高

2. 数据类型没有限制，大小和数量理论上也没有限制。

3. session一般用于存放一些私有数据。例如：登录后的用户信息、购物车信息……

一次性验证码实现

1. 验证

	当验证码生成时，正确的验证码存入session中
	提交的验证码和session中的进行比较

2. 保证一次性

	一旦验证码从session中取出，就把它从session中移除掉。