会话管理---Cookie与Session

会话可简单理解为：用户开一个浏览器，点击多个超链接，访问服务器多个web资源，然后关闭浏览器，整个过程称之为一个会话。

保存会话数据的两种技术：Cookie，Session

Cookie是客户端技术，程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去。这样，web资源处理的就是用户各自的数据了。

Session是服务器端技术，利用这个技术，服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象，由于session为用户浏览器独享，所以用户在访问服务器的web资源时，可以把各自的数据放在各自的session中，当用户再去访问服务器中的其它web资源时，其它web资源再从用户各自的session中取出数据为用户服务。

Cookie应用

//显示用户上次访问的时间
public class CookieDemo1 extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {

        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");

        PrintWriter  out = response.getWriter();
        out.write("您上次访问时间是：");
        //1.获取用户上次访问的时间，显示
        Cookie cookies[] = request.getCookies();
        for(int i=0;cookies!=null && i<cookies.length;i++){
            Cookie cookie = cookies[i];
            if(cookie.getName().equals("lastAccessTime")){
                long time = Long.parseLong(cookie.getValue());
                Date date = new Date(time);
                out.write(date.toLocaleString());
            }
        }

        //2.把本次的时间以cookie的形式回写给客户机   (lastAccessTime)
        Cookie cookie = new Cookie("lastAccessTime",System.currentTimeMillis()+"");
        cookie.setMaxAge(100);//设置有效期，cookie将写到硬盘上，不设置有效期，cookie的有效期是会话范围，cookie仅存储在浏览器缓存中，浏览器一关闭，cookie就没了。
        response.addCookie(cookie);

    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}

Cookie细节：

　　1. 一个Cookie只能标识一种信息，它至少含有一个标识该信息的名称（NAME）和设置值（VALUE）。
　　2. 一个WEB站点可以给一个WEB浏览器发送多个Cookie，一个WEB浏览器也可以存储多个WEB站点提供的Cookie。
　　3. 浏览器一般只允许存放300个Cookie，每个站点最多存放20个Cookie，每个Cookie的大小限制为4KB。
　　4. 如果创建了一个cookie，并将他发送到浏览器，默认情况下它是一个会话级别的cookie（即存储在浏览器的内存中），用户退出浏览器之后即被删除。若希望浏览器将该cookie存储在磁盘上，则需要使用maxAge，并给出一个以秒为单位的时间。将最大时效设为0则是命令浏览器删除该cookie。
 　 5. 注意，删除cookie时，path必须一致，否则不会删除

设置Session，与NET平台不同

String data = "abcd";
HttpSession session = request.getSession();
session.setAttribute("data", data);
        

取出Session

HttpSession  session = request.getSession();
//session.invalidate();  摧毁session

String data = (String) session.getAttribute("data");
response.getWriter().write(data);

session实现会话过程数据共享的原理：

Session是基于Cookie的、服务器创建每个session的时候，会为每个session分配一个ID号，即 JSESSIONID，服务器会以cookie的方式把session 的id号写给浏览器、所以session是基于cookie的。当浏览器再次访问的时候，会带着session id号的cookie过来 ，这就是session实现共享的原理。服务器写这个cookie的时候，是没有写有效期的，所以当浏览器关闭的时候，cookie也就没了，session也就结束了，即会话过程。

多浏览器共享Session

由上面的分析可以，关闭浏览器后，session将消失，那么如何做到多浏览器共享一个session呢（即关闭浏览器后，再打开一个浏览器后session还存在）？

只要手动的写入cookie，并设置有效期即可。用这个cookie来覆盖服务器写给浏览器的。可以通过httpwatch来观察服务器写给浏览器的内容。

解决方案如下：名字必须是JSESSIONID，因为服务器写给浏览器的cookie的名字就是这个 。

        HttpSession session = request.getSession();
        Cookie cookie = new Cookie("JSESSIONID",session.getId());
        cookie.setMaxAge(30*60);
        cookie.setPath("/day07");//因为服务器写给浏览器的也有设置path，所以要想自己写的cookie覆盖服务器写的，必须跟服务器写的一致。
        response.addCookie(cookie);

Session是基于Cookie的，那如果浏览器禁用了cookie后怎么办？  会出现空指针异常。

因为禁用了cookie，服务器写cookie的时候，浏览器会拒绝，下次再来访问的时候是没有带cookie的，而在后台有使用这个cookie，所以会出现空指针异常。

解决方法：不以cookie的方式把JSESSIONID带给服务器，而是把JSESSIONID以url的方式带到服务器，

即URL重写：URL重写解决了禁用cookie后，Session的共享问题。

String url  = response.encodeRedirectURL("/day07/servlet/ListCartServlet");    //实现 url重写
response.sendRedirect(url);

encodeRedirectURL方法会自动的在URL后面加上JSEEIONID的参数。

一般涉及到会话的超链接都要使用url重写，来解决浏览器禁用cookie的问题。

String url = "/day07/servlet/BuyServlet?id="+book.getId();
url = response.encodeURL(url);  //得到重写后的url

encodeURL

encodeRedirectURL

上面两个都是url重写，重定向的url重写使用下面一个，其他的url重写使用上面一个。

response. encodeRedirectURL(java.lang.String url)
   用于对sendRedirect方法后的url地址进行重写。
   response. encodeURL(java.lang.String url)
   用于对表单action和超链接的url地址进行重写

URL重写会自己判断浏览器是否禁用了cookie，如果没有禁用cookie，不会在超链接后面加上JSESSIONID的参数带给服务器，只有禁用了Cookie才会带。

Session的失效时间可以在web.xml文件中修改

<session-config>
　　<session-timeout>10</session-timeout>    //10分钟
</session-config>

session在10分钟内没有在被使用，服务器就会摧毁session。

用户登录保存登录标记，存入session

public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {

        //request.getAttribute("username");  //从域中取username
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        //检测用户名和密码在数据库中是否存在
        List<User> list = DB.getAll();
        for(User user : list){
            if(user.getUsername().equals(username)  && user.getPassword().equals(password)){
                //从数据库中找到匹配用户，让用户登陆成功
                request.getSession().setAttribute("user", user);
                response.sendRedirect("/day07/index.jsp");
                return;
            }
        }
        response.setCharacterEncoding("UTF-8");
        response.setContentType("text/html;charset=UTF-8");
        response.getWriter().write("用户名或密码错误！！");
    }

//注销登陆用户
public class LogoutServlet extends HttpServlet {

    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {

        HttpSession session = request.getSession(false);
        if(session!=null){
            session.removeAttribute("user");
        }

        response.sendRedirect("/day07/index.jsp");
    }

    public void doPost(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        doGet(request, response);
    }

}

两者区别：

request.getSession();如果服务器内存中没有session，服务器会创建一个session，如果有session，会返回该session

request.getSession(false);只检索服务器内存中有没有session，如果没有也不创建session了，如果有，则返回该session