cookie和session运行机制、区别

一,什么是会话? 
会话可简单理解为:用户打开一个浏览器,点击多个超链接,访问服务器多个web资源,然后关闭浏览器,整个过程称之为一个会话。会话过程中要解决一些问题:每个用户与服务器进行交互的过程中,各自会有一些数据,程序要想办法保存每个用户的数据;那么怎样解决这样的问题呢?——借助于两种会 
话技术。

二,Cookie会话技术 
1,Cookie的定义 
Cookie是客户端技术,程序把每个用户的数据以cookie的形式写给用户各自的浏览器。当用户使用浏览器再去访问服务器中的web资源时,就会带着各自的数据去。这样,web资源处理的就是用户各自的数据了(Cookie翻译成中文是小甜点,小饼干的意思。在HTTP中它表示服务器送给客户端浏览器的小甜点。其实Cookie就是一个键和一个值构成的,随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来,当下一次再访问服务器时把Cookie再发送给服务器。)。

2,Cookie的规范

我们可以放心,Cookie不会占满你的硬盘。因为一个Cookie最多只有4KB,一个服务器最多只能发送到客户端20个Cookie,并且浏览器最多可以保存300个Cookie。当然,在浏览器大战的今天,一些浏览器为了打败对手,可能对Cookie规范“扩展”了一些,例如每个Cookie的大小为8KB,最多可保存500个Cookie等!但也不会出现把你硬盘占满的可能。不同的浏览器之间不能共享Cookie

3,Cookie的作用

Cookie的作用很大,但无论怎么夸大Cookie的作用都离不开“跟踪客户端状态”这句话。我们知道Cookie是服务器保存在客户端的信息,然后客户端会在下次请求时把Cookie在还给服务器,这样服务器就可以通过信息来识别客户端了。就好比你去医院看病,第一次去需要买卡片,然后你去任何科室都需要你出示卡片。只要你出示卡片,医生就会知道你去过哪些科室,看了哪些病!卡片上只有一个ID,它就是Cooke,而你本人就是客户端,而医生就是服务器了。

4,Cookie的属性: 
Cookie最重要的4个属性为: 
名字(name) 
值(value) 
路径(path) 
域(domain)

5,Cookie的API 
保存Cookie到客户端,这是响应工作的一部分,所以这个方法是response对象的,并且Cookie是HTTP协议中的内容,所以保存Cookie是HttpServletResponse类中的方法。 
javax.servlet.http.Cookie类用于创建一个Cookie,response接口中定义了一个addCookie方法,void addCookie(Cookie c):添加Cookie对象到当前response对象中,这个方法可以被调用多次,从而完成添加多个Cookie对象到response中。它用于在其响应头中增加一个相应的Set-Cookie头字段。 同样,request接口中也定义了一个getCookies方法,它用于获取客户端提交的Cookie:HttpServletRequest:Cookie[] getCookies(),它返回的是Cookie数组,而不是一个Cookie对象。如果请求中没有Cookie,那么该方法返回null。 
Cookie类中的方法有: 
public Cookie(String name,String value):cookie的构造方式 
String getName():获取cookie的名称 
String getValue():获取cookie的值 
void setMaxAge(int expiry):设置有效时间,失效cookie:setMaxAge(0);前提条件是:设置有效路径(和之前设置过相同),cookie.setMaxAge(-1):cookie的maxAge属性的默认值就是-1(其实只要是负数都是一个意思),表示只在浏览器内存中存活。一旦关闭浏览器窗口,那么cookie就会消失。 
void setPath(String uri):设置有效路径 
void setDomain(String pattern):设置有效域名

6,Cookie的分类:

会话级别cookie:保存在浏览器中,浏览器关闭cookie就失效了 
持久的cookie:存到本地的文件中,需要设置有效的保存时间(通过setMaxAge(int a)进行设置); 
如果创建了一个cookie,并将他发送到浏览器,默认情况下它是一个会话级别的cookie(即存储在浏览器的内存中),用户退出浏览器之后即被删除。若希望浏览器将该cookie存储在磁盘上,则需要使用maxAge,并给出一个以秒为单位的时间。 
删除持久cookie,可以将cookie最大时效设为0,注意,删除cookie时,path必须一致,否则不会删除

二,Session会话技术 
Session是服务器端技术,利用这个技术,服务器在运行时可以为每一个用户的浏览器创建一个其独享的session对象,由于session为用户浏览器独享,所以用户在访问服务器的web资源时,可以把各自的数据放在各自的session中,当用户再去访问服务器中的其它web资源时,其它web资源再从用户各自的session中取出数据为用户服务。Session对象由服务器创建,开发人员可以调用request对象的getSession方法得到session对象。

1),session也是域对象之一,它的范围是在一个会话范围内有效。session既然是域对象,那么当然就要有getAttribute()和setAttribute()系列方法了。 
2),在一个会话内共享一个session对象,所以session中可以保存一个会话内的数据。例如当前用户的信息。 
3),session的范围大于request,可以在一个会话中多个请求之间共享数据。但session的范围小于application,session不能在多个用户之间共享数据。

1,获取session对象 
使用request.getSession()方法就可以获取session对象。有了session,就不用使用Cookie来跟踪会话了!但是session不能像Cookie那样长命,一旦用户关闭浏览器窗口,那么session就死掉了。

2,Session的实现原理 
我们都知道HTTP是无状态协议,但是为什么session可以跟踪会话状态呢?因为,session依赖Cookie。利用cookie回写了一个JSESSIONID(JESSIONID就是为每个seesion起一个唯一的标识)

类似于银行卡,卡上只有一个ID,其他什么都没有,表示金额的这个数据在银行的数据库里。那为什么在ATM上我们只需要把卡插入就可以看到卡上余额呢?原因是ATM获取卡上的ID,然后通过ID去银行数据库中查找对应的账户!每个账户都有一个ID属性,账户上可能还会有密码属性、余额属性等。每张卡上只有一个ID,再没有其他的东西了。但ATM可以读取卡上的ID,然后去银行数据库中查找对应的账户!所以你大可以放心,银行卡坏掉了没有关系,钱不会掉的,因为账户余额在银行的数据库中,你只需要重新去银行办一张卡,把你的卡号置入到新卡中就OK了。 
每个session对象都有一个id属性,session就相当于银行的账户。而sessionId就相当于卡!银行数据库就是Tomcat服务器,而手里只有卡的我们就是客户端浏览器。 
当你第一次去银行办理业务时,这需要办一张卡,然后你需要拿着卡回家,下一次再去银行办理业务时就不需要再办卡了,但你不要忘记带着卡去银行。 
当客户端第一次访问服务器时,服务器会为客户端创建一个session对象,然后把session对象放到session池中,在响应时把sessionId通过Cookie响应给客户端。注意,只有在第一次访问时,服务器才会创建session,给客户端响应sessionId。从此以后就不会了! 
当客户端再次访问服务器时,会在请求中带着sessionId给服务器,服务器通过sessionId到session池中找到session对象,这就可以完成会话跟踪了。也就是说,服务器端保存的是session对象,而客户端只有sessionId。每次访问都需要通过客户端的sessionId来匹配服务器端的session对象!这样用户在session中保存的数据就可以再次被使用了。 
sessionId是服务器通过Cookie发送给客户端浏览器的,这个Cookie的maxAge为-1,即只在浏览器内存中存在。如果你关闭所有浏览器窗口,那么这个Cookie就会消失了!

3,session失效 
session失效有如下几个原因: 
1)客户端的请求中没有sessionId。可能是因为这是第一次请求(开始一个新的会话),也可能是服务器设置Cookie的maxAge为0导致的;(客户端没有银行卡) 
2)客户端请求中存在sessionId,但这个sessionId在session池中没有匹配的session对象。这可能是因为session太久没有使用,服务器把session从池中移除的原因;(银行卡没有对应的银行账户) 
3)客户端请求中存在sessionId,但匹配的session对象被标记为失效!这可能是因为服务器调用了session.invalidate()方法导致的。(银行账户找到了,但账户已被冻结)

4,与session相关的方法

String getId():获取sessionId; 
int getMaxInactiveInterval():获取session可以的最大不活动时间(秒),默认为30分钟。当session在30分钟内没有使用,那么Tomcat会在session池中移除这个session; 
void setMaxInactiveInterval(int interval):设置session允许的最大不活动时间(秒),如果设置为1秒,那么只要session在1秒内不被使用,那么session就会被移除; 
long getCreationTime():返回session的创建时间,返回值为当前时间的毫秒值; 
long getLastAccessedTime():返回session的最后活动时间,返回值为当前时间的毫秒值; 
void invalidate():让session失效,调用这个方法会让session失效,当session失效后,客户端再次请求,服务器会给客户端创建一个新的session,并在响应中给客户端新session的sessionId; 
boolean isNew():查看session是否为新。当客户端第一次请求时,服务器为客户端创建session,但这时服务器还没有响应客户端,也就是还没有把sessionId响应给客户端时,这时session的状态为新。

5,Session和Cookie的主要区别在于: 
具体来总结:用于面试中回答 
都是用来跟踪浏览器用户身份的会话方式 
1)Cookie是把用户的数据写给用户的浏览器,数据保存在客户端;Session技术把用户的数据写到用户独占的session中(服务器端),数据保存在服务器端。 
2)Cookie不是很安全,别人可以分析存在本地的Cookie,并进行Cookie欺骗,如果需要考虑安全,则使用Session; 
3)Session会在一定时间内保存在服务器上,当访问增多,会笔尖占用你的服务器的性能,如果主要考虑减轻服务器性能方面,应当使用Cookie 
4)Cookie有大小和个数的限制。

posted @ 2019-04-22 21:00  BOSS爱龟  阅读(453)  评论(0编辑  收藏  举报