Servlet之会话 cookie session

Servlet之会话

一、会话简介

客户端服务器连接开始，请求和响应的过程中都属于一次会话。客户端和服务器交流的过程，这个过程是一个持续的过程，当关闭客户端或者服务器 该次会话结束。整个过程中都属于同一次会话，不管访问是哪个页>面或者哪个Servlet都属于该会话

会话包含以下两种：
客户端会话：Cookie
服务器端会话:Session

二、会话作用

因为HTTP协议是无状态的，不会记住上一次请求的数据。所以很显然服务器不可能知道我们已经在上一次的HTTP请求中通过了验证。当然，最简单的解决方案就是所有的请求里面都带上用户名和密码，这样虽然可行，但大大加重了服务器的负担（对于每个request都需要到数据库验证）。
既然直接在请求中带上用户名与密码不可行，那么就只有在服务器或客户端保存一些类似的可以代表身份的信息了，所以就有了cookie与session，cookie和session用来跟踪用户的整个会话。

三、使用方式

1、客户端会话Cookie

① 理解

在程序中，会话跟踪是很重要的事情。理论上，一个用户的所有请求操作都应该属于同一个会话，而另一个用户的所有请求操作则应该属于另一个会话，二者不能混淆。例如，用户A在超市购买的任何商品都应该放在A的购物车内，不论是用户A什么时间购买的，这都是属于同一个会话的，不能放入用户B或用户C的购物车内，这不属于同一个会话。

而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕，客户端与服务器端的连接就会关闭，再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内，当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话，必须引入一种机制。Cookie就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前，基本上所有的网站都采用Cookie来跟踪会话。

② 原理

那么如何跟踪会话呢，我们需要掌握该会话的原理就清楚了：
原理：
Cookie是解决HTTP无状态性的有效手段，服务器可以设置或读取Cookie中所包含的信息。当用户登录后，服务器会发送包含登录凭据的Cookie到用户浏览器客户端，而浏览器对该Cookie进行某种形式的存储（内存或硬盘）。用户再次访问该网站时，浏览器会发送该Cookie（Cookie未到期时）到服务器，服务器对该凭据进行验证，合法时使用户不必输入用户名和密码就可以直接登录。

本质上讲，Cookie是一段文本信息。客户端请求服务器时，如果服务器需要记录用户状态，就在响应用户请求时发送一段Cookie信息。客户端浏览器保存该Cookie信息，当用户再次访问该网站时，浏览器会把Cookie做为请求信息的一部分提交给服务器。服务器检查Cookie内容，以此来判断用户状态，服务器还会对Cookie信息进行维护，必要时会对Cookie内容进行修改。

原理图如下：

简而言之我们可以这么理解：

1. 当从浏览器发送请求到服务器后，servlet创建cookie，保存少量数据，发送浏览器。
2. 浏览器获得服务器发送的cookie数据，将自动的保存到浏览器端。
3. 下次访问时，浏览器将自动携带cookie数据发送给服务器。

浏览器查看Cookie的方式：以谷歌浏览器为例

或者点击谷歌浏览器设置

点击以下选中的区域可以查看浏览器中保存的Cookie信息

以下是我们打开的一个Cookie的信息

③ 使用

1.Cookie创建
Cookie cookie = new Cookie(String key,String value);
key:表示cookie的名字
value:表示cookie中保存的数据

2.设置有效时间 不受浏览器关闭的影响
// 为何要设置有效时间呢？因为浏览器关闭后该会话就结束了，因此要设置有效时间来保证浏览器关闭后Cookie会话还存在,单位为秒
cookie.setMaxAge(int expiry); 
//默认值为 -1 ：代表浏览器关闭后，也就是会话结束后，cookie就失效了，也就没有了；
//expiry>0 :代表浏览器关闭后，cookie不会失效，仍然存在。并且会将cookie保存到硬盘中，直到设置时间过期才会被浏览器自动删除；
//expiry=0：删除cookie。不管是之前的expiry=-1还是expiry>0，当设置expiry=0时，cookie都会被浏览器给删除。


3. 发送给浏览器
response.addCookie(cookie);

4. 获取cookie 
Cookie[] cookies = request.getCookies();
if(cookies!=null) {
	for (Cookie cookie : cookies) {
		// 获取cookie的名称
		String name = cookie.getName();
		// 获取cookie的值
		String value = cookie.getValue();
		System.out.println(name+"：：："+value);
	 }	
}

④ 特点

1、Cookie中只能以键值对的形式保存字符串类型的数据
2、Cookie中保存的数据有大小限制，一般不超过4KB
3、Cookie是保存在客户端的，安全性较差
4、Cookie默认有效期是浏览器关闭即销毁，所以如果想持久保存Cookie对象，一定要设置有效期，并且有效期时间单位是秒。

⑤ 使用场景

1、记住用户名
登录时，在服务器端获取到用户名，然后创建一个cookie，将用户名存入cookie中，发送回浏览器端，然后浏览器下次在访问登录页面时，先拿到cookie，将cookie中的信息拿出来，看是否保存了该用户名，如果保存了，那么直接用他，如果没有，则自己手写用户名。cookie需要将所有信息都保存在客户端。因此cookie存在着一定的安全隐患，例如本地cookie中保存的用户名和密码被破译，或cookie被其他网站收集。

2、历史记录
比如购物网站，都会有我们的浏览记录的，实现原理其实也是用cookie技术，每浏览一个商品，就将其存入cookie中，到需要显示浏览记录时，只需要将cookie拿出来遍历即可。

##### ⑥ 案例：记住账号

```java
package com.offcn.web;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;

@WebServlet("/login")
public class LoginServlet extends HttpServlet {

    @Override
    protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        resp.setContentType("text/html;charset=utf-8");
        //1.获取表单参数 用户名 密码
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        //2.如果账号是admin、密码是123 表示登录成功
        if(username.equals("admin") && password.equals("123")){
            //保存账号信息到cookie
            Cookie name = new Cookie("name","admin");
            Cookie pswd = new Cookie("password","123");
            //设置保存账号密码时间
            name.setMaxAge(3600*24*30);
            pswd.setMaxAge(3600*24*30);
            //响应cookie到浏览器客户端
            resp.addCookie(name);
            resp.addCookie(pswd);
            //跳转到success.jsp  提示用户登录成功
            resp.sendRedirect("success.jsp");
        }else{
            Cookie name = new Cookie("name","admin");
            Cookie pswd = new Cookie("password","123");
            //设置保存账号密码时间
            name.setMaxAge(0);
            pswd.setMaxAge(0);
            //响应cookie到浏览器客户端
            resp.addCookie(name);
            resp.addCookie(pswd);
            resp.getWriter().print("登录失败，请重新<a style='color:blue' href='login.jsp'>登录</a>");
        }
    }
}

登录页面 login.jsp
<%@ page import="java.awt.geom.QuadCurve2D" %><%--
  Created by IntelliJ IDEA.
  User: Administrator
  Date: 2021/9/8
  Time: 11:05
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>登录</title>
</head>
<body>

<%
    String name = "";
    String password = "";
    Cookie[] cookies = request.getCookies();
    //防止cookie空的情况 导致NullPointerException
    if(cookies!=null && cookies.length>0){
        for (Cookie cookie : cookies) {
            if(cookie.getName().equals("name")){
                name = cookie.getValue();
            }
            if(cookie.getName().equals("password")){
                password = cookie.getValue();
            }
        }
    }
%>

<form action="login" method="post">
        账号: <input type="text" name="username" value="<%= name %>">  <br>
        密码: <input type="password" name="password" value="<%= password%>"> <br>
             <input type="submit" value="登录">
</form>
</body>
</html>

success.jsp
<%--
  Created by IntelliJ IDEA.
  User: Administrator
  Date: 2021/9/8
  Time: 11:13
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
欢迎您，登录成功!!!
</body>
</html>

演示效果：

登录失败效果：

登录成功后再一次访问登录页面的效果

2、服务器会话Session

① 理解

Session是服务器提供的一个会话对象，是第二大作用域对象。创建之后这个Session是存储到服务器中的。但Session的使用需要和浏览器建立关联，这个关联与Cookie有关，其中每一个Session对象都会对应一个sessionId，这个sessionId就被存储在Cookie中。

② 原理

首先浏览器请求服务器访问web站点时，程序需要为客户端的请求创建一个session的时候，服务器首先会检查这个客户端请求是否已经包含了一个session标识、称为SESSIONID，如果已经包含了一个sessionid则说明以前已经为此客户端创建过session，服务器就按照sessionid把这个session检索出来使用，如果客户端请求不包含session id，则服务器为此客户端创建一个session并且生成一个与此session相关联的session id，sessionid 的值应该是一个既不会重复，又不容易被找到规律以仿造的字符串，这个sessionid将在本次响应中返回到客户端保存，保存这个sessionid的方式就可以是cookie，这样在交互的过程中，浏览器可以自动的按照规则把这个标识发回给服务器，服务器根据这个sessionid就可以找得到对应的session

原理图如下：

在运行记住密码项目时，通过浏览器查看我们发现Cookie中保存处理用户名和密码外，还有一个JSESSIONID，这个就是发送请求时创建的session对象对应的id。

③ 使用

1.获取session对象
HttpSession session = request.getSession();
2. 保存数据到session中
session.setAttribute(String 绑定名, Object 绑定值);
3. 获取session数据
Object   session.getAttribute("绑定名");
4. 有效时间 单位秒  默认30分钟
session.setMaxInactiveInterval(int expiry);
5. 销毁session对象
session.invalidate();

④ 特点

1、存储在服务器端,安全性相比较cookie，更安全。
2、默认超时时间为30分钟
3、Session做为第二大域对象，在一个会话范围内的数据是可以共享的
4、Session存储的数据可以是任意类型
5.让session失效的方法:
	 1) 手动销毁  session.invalidate()
     2) 关闭浏览器
     3） 重启服务器
     4） 有效时间到了

⑤ 使用场景

用户登录时的安全校验

用户登录安全校验

需求：需要登录成功后才能访问 success.jsp  否则提示需要登录的提示

LoginServlet

package com.offcn.web;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.*;
import java.io.IOException;


@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    @Override
    protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        //如果账号为admin 并且密码为 admin 认为登录成功
        if(username.equals("admin")&&password.equals("admin")){

            //登录成功把账号、密码保存到cookie 中
            Cookie cookie = new Cookie("username",username);
            Cookie cookie2 = new Cookie("password",password);
            //存3个月
            cookie.setMaxAge(3600*24*90);
            cookie2.setMaxAge(3600*24*90);
            resp.addCookie(cookie);
            resp.addCookie(cookie2);
            //使用会话域保存一个值  这个值用于证明已经登录过
            HttpSession session = req.getSession();
            session.setAttribute("user","user");
            //登录成功 跳转到 login_success.jsp
            resp.sendRedirect("login_success.jsp");
        }else{
            //登录失败 重新跳转到login.jsp 并且提示错误原因
            req.setAttribute("errorMessage","用户名或密码有误");
            req.getRequestDispatcher("login.jsp").forward(req,resp);
        }
    }
}

login_success.jsp

<%--
  Created by IntelliJ IDEA.
  User: Administrator
  Date: 2021/7/15
  Time: 10:49
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>

<%
    Object user = session.getAttribute("user");
    if(user==null){
        out.print("<script>alert('请登录后访问!!!');location.href='login.jsp'</script>");
    }else{
        out.print("登录成功");
    }

%>

</body>
</html>

3、Cookie和Session的区别

1. Cookie和Session都是会话技术，Cookie是运行在客户端，Session是运行在服务器端。
2. Cookie有大小限制以及浏览器在存cookie的个数也有限制，Session是没有大小限制和服务器的内存大小有关。
3.Cookie只能保存字符串数据,Session可以保存任意类型数据
4. Cookie有安全隐患，通过拦截或本地文件找得到你的cookie后可以进行攻击。
5. Session是保存在服务器端上会存在一段时间(默认30分钟)才会消失，如果session过多会增加服务器的压力。
6. cookie默认存活时间是浏览器关闭销毁。 session默认存活时间30分钟。