Cookie和Session

HTTP协议自身是属于无状态的协议,意思就是默认情况下HTTP协议的客户端和服务器的上一次通信和下一次通信之间是没有关系的,在实际开发中我们需要知道请求之间的关联关系,例如我们登陆过一个网站,当再次登陆该网站时,服务器就知道已经登陆过该网站了

1.回顾

回顾关于cookie的几个知识点

1.cookie是浏览器提供的,持久化存储数据的机制

2.cookie 是从服务器返回给浏览器的,是由程序员代码决定的要在浏览器cookie中保存哪些数据,通过http响应的Set-Cookie字段把键值对写回去

3.cookie在浏览器存储的目的是后续访问服务器的时候,通过请求的header将cookie发送给服务器

作用:因为服务器是同时服务多个客户端的,客户端需要借助cookie来告诉服务器当前提供的服务到哪个环节了,服务器也可以通过cookie识别该客户端

4.cookie存储在浏览器所在的硬盘中,浏览器根据域名分别存储,有很多cookie,访问一个网站就按域名存储一个cookie

cookie最典型的应用:表示用户的身份信息.

很多网站多有登录功能

当浏览器再次访问服务器时, 请求中就会有cookie,cookie中带有身份序号,服务器查询到身份序号,就能判断身份信息,避免了重复输入登录信息.没查到就重新输入登录信息.访问其他页面也是相同,如果有cookie,就能访问服务器其他页面,删除cookie后刷新,登陆状态就变了,因为本地存储的身份序号被删除了,再次发送请求时,服务器查询不到身份序号了

cookie过期可能是服务器或客户端删掉了,安全性越要高的网站cookie过期时间越长.
方法
String getName() :该方法返回 cookie 的名称。名称在创建后不能改变。 ( 这个值是 SetCooke 字段设置给浏览器的 )
String getValue() :该方法获取与 cookie 关联的值
void setValue(String newValue) :该方法设置与 cookie 关联的值

HTTP 的cookie字段中存储的实际上是多组键值对. 每个键值对在 Servlet 中都对应了一个cookie对象.
通过 HttpServletRequest.getCookies() 获取到请求中的一系列cookie键值对.
通过 HttpServletResponse.addCookie() 可以向响应中添加新的cookie键值对.

2.Session

上述服务器生成了一些键值对结构数据,就是session(会话)

生成的唯一的身份序号叫做sessionid,也就是key,value就是记录的身份信息

sessionId是由服务器生成的"唯一性字符串”,从 session 机制的角度来看, 这个唯一性字符串
称为 “sessionId”. 但是站在整个登录流程中看待 , 也可以把这个唯一性字符串称为 “token”(代币象征)
具体流程:用户登陆时,服务器在session中添加一个key-value记录,并且将key通过setCookie返回给
客户端,客户端存储了cookie信息
客户端后续再发请求到服务器的时候,会通过http的header携带cookie信息
服务器收到请求之后,根据根据请求中的sessionid/token 在s ession 信息中获取到对应的用户信息 ,
再决定后续的操作
servlet的session默认是保存在内存中的,服务器重启后session会消失
Cookie与Session的关联与区别
关联:在登陆网站功能中要配合使用
区别:cookie是客户端的存储机制,session是服务器的存储机制
cookie里面可以存储各种键值对,除了sessionid还可以存别的,session是专门保存用户的身份信息的
cookie完全可以单独使用,不搭配session
session也可以不搭配cookie,比如手机app登录服务器,也需要session,但是没有cookie概念,cookie是跟浏览器强相关的
cookie是Http协议中的一部分,但是session则是可以与HTTP无关的,其他协议也能用session

3.模拟登录功能

下来我们写一个代码体验
模拟上述所说的登录功能
先写一个html,提交post请求

需求:当前端提交请求,LoginServlet验证是否信息正确,如果登陆成功,跳转到主页,IndexServlet构建动态页面显示用户的名字
创建两个类:LoginServlet类和IndexServlet类

点击提交,然后进行抓包

实现两个类

先编写LoginServlet处理请求

package login;


import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //先使用getParameter获取到username,password的值
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        //验证信息是否正确
        //正常用数据库保存,这里写死
        //合法:zhangsan  12345
        if(!username.equals("zhangsan")){
            //失败
            //重定向=>登录页
            System.out.println("用户名错误");
            resp.sendRedirect("login.html");
            return;
        }
        if(!password.equals("12345")){
            //失败
            System.out.println("密码错误");
            resp.sendRedirect("login.html");
            return;
        }
        //成功

        //创建会话
        HttpSession session = req.getSession(true);
        //getSission(true);是拿着sessionId查一下哈希表,
        //如果sessionId不存在.或者没查到,就创建新会话插入到哈希表
        // 查到了就返回查到的结果
        //如何创建?
        //1.构造HttpSession对象
        //2.构造唯一的sessionId
        //3.把这个键值对插入哈希表
        //4.把sessionId设置到响应报文Set-Cookie字段

        //将用户信息保存到session对象中.
        session.setAttribute("username",username);
        //重定向到主页
        resp.sendRedirect("index");

    }
}

getSission(true);是拿着sessionId查一下哈希表,如果sessionId不存在.或者没查到,就创建新会话插入到哈希表,查到了就返回查到的结果,没查到就重新创建一个,(false)是不创建.有了获取,没有不管
创建会话过程?
1.构造HttpSession对象
2.构造唯一的sessionId
3.把这个键值对插入哈希表
4.把sessionId设置到响应报文Set-Cookie字段

HttpSession对象也是一个键值对

每个会话中:

key:sessionId value:HttpSession对象

每个HttpSession对象中:

类似

key:“username"value:“zhangsan”

setAttribute,getAttribute来存取键值对,内容是程序员定义

接下来编写生成动态页面代码

package login;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

@WebServlet("/index")
public class IndexServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //先判定用户登陆状态
        //若没登陆.先登录
        //若登录,根据绘画用户名信息,显示到页面上
        HttpSession session = req.getSession(false);
        //不会触发会话创建
        if(session==null){
            System.out.println("用户未登录");
            resp.sendRedirect("login.html");
            return;
        }
        String username = (String) session.getAttribute("username");
        //执行到这里,session和post中的是一个对象
        //根据同一个sessionid对应到的对象
        resp.setContentType("text/html;charset = utf8");
        resp.getWriter().write("欢迎回来!" + username);
    }
}

HttpSession session = req.getSession(false);
//不会触发会话创建

意思是如果有session,就获取,没有也不创建

getAttribute(“username”);是获取键的值

重启服务器执行:

这是第一次执行:

抓包结果

请求

响应

注意这里设置了cookie

jsessionid就是sessionid

Location是接下来要跳转的重定向的位置

注意:我们第二次发起请求了!

抓包后:

Cookie: JSESSIONID=C21C914A93AC8AD3A546B6F9ED26A274

我们可以发现有个 JSESSIONID,这就是sessionId,值是唯一的数字.第一次的post请求是没有这个字段的!!

响应结果:

只要这次登陆完成了,后续登录请求都会带上刚才的cookie的值(sessionId)

原文链接: https://blog.csdn.net/chenchenchencl/article/details/129914721