摘要:協(xié)議是無狀態(tài)的����,一旦數(shù)據(jù)交換完畢���,客戶端與服務(wù)器端的連接就會關(guān)閉���,再次交換建立新的連接��,也就是說����,服務(wù)器無法跟蹤會話�。而和就是用與解決這種問題。值得一提的是是建立在的基礎(chǔ)上創(chuàng)建的�����。注意在的文件中��,設(shè)置了的生命周期最長為分鐘���。
在將cookie 和 session 之前需要先理解什么是會話
會話:
用戶打開一個瀏覽器�����,點(diǎn)擊多個超鏈接��,訪問多個web資源����,然后關(guān)閉瀏覽器,整個過程稱為一個會話���。
http協(xié)議是無狀態(tài)的����,一旦數(shù)據(jù)交換完畢�,客戶端與服務(wù)器端的連接就會關(guān)閉,再次交換建立新的連接����,也就是說,服務(wù)器無法跟蹤會話�����。而cookie 和 session 就是用與解決這種問題����。
1.什么是cookie
cookie是客戶端的技術(shù)���,程序把每個用戶數(shù)據(jù)以cookie的形式寫給用戶各自的瀏覽器��,當(dāng)客戶端再次訪問服務(wù)器的時候���,會帶著各自的Cookie過來��,這樣服務(wù)器就能處理各自用戶的數(shù)據(jù)了
1.1. 如何使用cookie
Cookie cookie = new Cookie("name","value"); //創(chuàng)建一個cookie
cookie.setPath("/"); //cookie記得一定要設(shè)定路徑��,默認(rèn)是當(dāng)前的類的路徑����,設(shè)置/代表是整個web應(yīng)用�����。
cookie.setMaxAge(""); //設(shè)置有效期限�,默認(rèn)是瀏覽器的進(jìn)程,也就是瀏覽器關(guān)了�,就沒了。如果是設(shè)置為負(fù)數(shù)�,那么cookie不會被存儲,并且會被刪除�����。如果設(shè)置為0,那么cookie會被刪除�。(這些內(nèi)容在API上描述得非常清楚)
response.addCookie(cookie);//添加cookie,這樣才能回寫給客戶端
以上的內(nèi)容就是關(guān)于如何去使用一個cookie了。
1.2. cookie的細(xì)節(jié)
根據(jù)API的描述�����,一個cookie最大為4KB.瀏覽器一般只允許存放300個cookie���,每個站點(diǎn)最多存放20個Cookie��。Cookie被創(chuàng)建的時候默認(rèn)使用Verssion 0 ,也就是http 1.0
1.2.1 cookie的刪除
在cookie的API中沒有刪除cookie的具體方法�,但是我們可以通過設(shè)置cookie的生命周期����,來講cookie刪除,設(shè)置為0代表刪除(詳解自行查看setMaxAge()方法)
cookie.setMaxAge(0);
如果說不想從request域中獲取cookie����,然后將該cookie的生命周期設(shè)置為0,可以采用以下這個方法
Cookie cookie = new Cookie("想刪除的cooki名字","value");
cookie.setPath("");//此處路徑必須與想刪除的cookie一致
cookie.setMaxAge(0);
response.addCookie(cookie);
1.3 cookie的獲取
request.getCookies(); //返回的是cookie的數(shù)組
以上就是cookie的常用方法����。
1.4 cookie設(shè)置注釋
cookie.setComment("comment")
1.5 cookie 設(shè)置安全傳輸協(xié)議(例如 https ,ssl)
cookie.setSecure(true|false) 默認(rèn)為false
1.6 cookie 防止 xss(跨站腳本攻擊) 攻擊
cookie.setHttpOnly(true) // 高版本的 servlet Api中有提供此方法
當(dāng)將httpOnly設(shè)置為true時�����,將無法通過js腳本獲取cookie信息。能夠有效的防止xss攻擊
2.什么是session
session是服務(wù)端的技術(shù)�,當(dāng)瀏覽器第1次訪問web資源的時候,服務(wù)器會自動為其創(chuàng)建一個session��,并保存在服務(wù)器�,當(dāng)需要保存用戶數(shù)據(jù)的時候,可以將數(shù)據(jù)寫入session中��。當(dāng)用戶訪問其他程序的時候���,就可以直接從session中取值�����。值得一提的是sesion是建立在cookie的基礎(chǔ)上創(chuàng)建的���。
2.1 session實(shí)現(xiàn)原理
session的實(shí)現(xiàn)原理是建立在給瀏覽器回寫cookie,并且是以JSESSIONID為鍵���,但是這個cookie是沒有時間的�,也就是說����,當(dāng)你關(guān)閉瀏覽器時���,代表一個會話結(jié)束了,也就是說你的session會被刪除���,當(dāng)你再次訪問服務(wù)器的時候�,服務(wù)器會為你重新創(chuàng)建一個session�����。
2.2 session的使用
2.2.1 客戶端不禁用cookie的情況
HttpSession session = request.getSession();//客戶端訪問服務(wù)器的時候����,服務(wù)器會自動創(chuàng)建一個session,如果客戶端沒有禁用cookie的話。
String sessionId = session.getId();
Cookie cookie = new Cookie("JSESSIONID",sessionId);
cookie.setPaht("/");
cookie.setMaxAge(30*60);//注意在tomcat的web.xml文件中����,設(shè)置了session的生命周期最長為30分鐘。
response.addCookie(cookie);
session.setAttribute("key","value");
2.2.2 客戶端禁用cookie的情況
如果客戶端禁用cookie�,那么需要調(diào)用response的encodeURL("轉(zhuǎn)發(fā)的地址")
HttpSession session = request.getSession();
String url1 = response.encodeURL("xxxx");//注意,調(diào)用這個方法之前���,必須要先獲取session,(在該方法的API描述得很清楚)
PrintWriter pw = response.getWriter();
pw.write(url1);
2.3 session的一些細(xì)節(jié)
設(shè)置session的生命周期
可以通過設(shè)置配置文件的形式���,設(shè)置session的生命周期;在web.xml文件中添加如下代碼
30//備注這里是以分鐘為單位
參考以下2篇博文:
https://my.oschina.net/kevina... 深入源碼剖析了session和cookie
http://blog.csdn.net/fangaoxi... 介紹了一些基本的知識
文章版權(quán)歸作者所有����,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除��。
轉(zhuǎn)載請注明本文地址:http://www.ezyhdfw.cn/yun/69841.html
