什么是Session
Session 是另一种纪录阅读器状况的机制。差别的是Cookie保留在阅读器中,Session保留在效劳器中。用户运用阅读器接见效劳器的时刻,效劳器把用户的信息以某种的情势纪录在效劳器,这就是Session
假如说Cookie是搜检用户身上的”通行证“来确认用户的身份,那末Session就是经由过程搜检效劳器上的”客户明细表“来确认用户的身份的。Session相当于在效劳器中建立了一份“客户明细表”。
为何要运用Session手艺?
Session比Cookie运用方便,Session可以处置惩罚Cookie处置惩罚不了的事变【Session可以存储对象,Cookie只能存储字符串。】。
Session API
- long getCreationTime();【猎取Session被建立时候】
- String getId();【猎取Session的id】
- long getLastAccessedTime();【返回Session末了活泼的时候】
- ServletContext getServletContext();【猎取ServletContext对象】
- void setMaxInactiveInterval(int var1);【设置Session超时时候】
- int getMaxInactiveInterval();【猎取Session超时时候】
- Object getAttribute(String var1);【猎取Session属性】
- Enumeration<String> getAttributeNames();【猎取Session一切的属性名】
- void setAttribute(String var1, Object var2);【设置Session属性】
- void removeAttribute(String var1);【移除Session属性】
- void invalidate();【烧毁该Session】
- boolean isNew();【该Session是不是为新的】
Session作为域对象
从上面的API看出,Session有着request和ServletContext相似的要领。实在Session也是一个域对象。Session作为一种纪录阅读器状况的机制,只需Session对象没有被烧毁,Servlet之间就可以经由过程Session对象完成通信
- 我们来尝尝吧,在Servlet4中设置Session属性
//获得Session对象
HttpSession httpSession = request.getSession();
//设置Session属性
httpSession.setAttribute("name", "看完博客就要点赞!!");
- 在Servlet5中猎取到Session存进去的属性
//猎取到从Servlet4的Session存进去的值
HttpSession httpSession = request.getSession();
String value = (String) httpSession.getAttribute("name");
System.out.println(value);
- 接见Servlet4,再接见Servlet5
- 平常来讲,当我们要存进的是用户级别的数据就用Session,那什么是用户级别呢?只需阅读器不封闭,愿望数据还在,就运用Session来保留。
Session的生命周期和有用期
- Session在用户第一次接见效劳器Servlet,jsp等动态资本就会被自动建立,Session对象保留在内存里,这也就为何上面的例子可以直接运用request对象猎取获得Session对象。
- 假如接见HTML,IMAGE等静态资本Session不会被建立。
- Session天生后,只需用户继承接见,效劳器就会更新Session的末了接见时候,不管是不是对Session举行读写,效劳器都邑以为Session活泼了一次。
- 由于会有越来越多的用户接见效劳器,因而Session也会越来越多。为了防备内存溢出,效劳器会把长时候没有活泼的Session从内存中删除,这个时候也就是Session的超时时候。
- Session的超时时候默许是30分钟,有三种体式格局可以对Session的超时时候举行修正
- 第一种体式格局:在tomcat/conf/web.xml文件中设置,时候值为20分钟,一切的WEB运用都有用
<session-config>
<session-timeout>20</session-timeout>
</session-config>
- 第二种体式格局:在单个的web.xml文件中设置,对单个web运用有用,假如有争执,以本身的web运用为准。
<session-config>
<session-timeout>20</session-timeout>
</session-config>
- 第三种体式格局:经由过程setMaxInactiveInterval()要领设置
//设置Session最长超时时候为60秒,这里的单元是秒
httpSession.setMaxInactiveInterval(60);
System.out.println(httpSession.getMaxInactiveInterval());
- Session的有用期与Cookie的是差别的
运用Session完成简朴的购物功用
- 我们照样以书本为例,所以可以copy“显现阅读过的商品“例子部份的代码。
response.setContentType("text/html;charset=UTF-8");
PrintWriter printWriter = response.getWriter();
printWriter.write("网页上一切的书本:" + "<br/>");
//拿到数据库一切的书
LinkedHashMap<String, Book> linkedHashMap = DB.getAll();
Set<Map.Entry<String, Book>> entry = linkedHashMap.entrySet();
//显现一切的书到网页上
for (Map.Entry<String, Book> stringBookEntry : entry) {
Book book = stringBookEntry.getValue();
String url = "/ouzicheng/Servlet6?id=" + book.getId();
printWriter.write(book.getName());
printWriter.write("<a href='" + url + "'>购置</a>");
printWriter.write("<br/>");
}
- 在购物车页面上,猎取到用户想买的书本【用户可以不单想买一本书,因而乎,就用一个List容器装载书本】,有了:先遍历Cookie,再推断是不是是第一次接见Servlet的逻辑思绪,我们就可以先猎取到Session的属性,假如Session的属性为null,那末就是还没有该属性
//获得用户想买书本的id
String id = request.getParameter("id");
//根据书本的id找到用户想买的书
Book book = (Book) DB.getAll().get(id);
//猎取到Session对象
HttpSession httpSession = request.getSession();
//由于用户可以想买多本书的,所以我们用一个容器装着书本
List list = (List) httpSession.getAttribute("list");
if (list == null) {
list = new ArrayList();
//设置Session属性
httpSession.setAttribute("list",list);
}
//把书本加入到list鸠合中
list.add(book);
- 按我们一般的逻辑思绪:先建立一个ArrayList对象,把书加到list鸠合中,然后设置Session的属性。如许是行不通的。每次Servlet被接见的时刻都邑建立一个ArrayList鸠合,书本会被分发到差别的ArrayList中去。所以下面的代码是不可的!
//获得用户想买书本的id
String id = request.getParameter("id");
//根据书本的id找到用户想买的书
Book book = (Book) DB.getAll().get(id);
//猎取到Session对象
HttpSession httpSession = request.getSession();
//建立List鸠合
List list = new ArrayList();
list.add(book);
httpSession.setAttribute("list", list);
- 既然用户已购置了书本,那末也应当给供应页面显现用户购置过哪些书本
//获得用户想买书本的id
String id = request.getParameter("id");
//根据书本的id找到用户想买的书
Book book = (Book) DB.getAll().get(id);
//猎取到Session对象
HttpSession httpSession = request.getSession();
//由于用户可以想买多本书的,所以我们用一个容器装着书本
List list = (List) httpSession.getAttribute("list");
if (list == null) {
list = new ArrayList();
//设置Session属性
httpSession.setAttribute("list",list);
}
//把书本加入到list鸠合中
list.add(book);
String url = "/ouzicheng/Servlet7";
response.sendRedirect(url);
- 列出用户购置过的书本
//要获得用户购置过哪些书本,获得Session的属性遍历即可
HttpSession httpSession = request.getSession();
List<Book> list = (List) httpSession.getAttribute("list");
if (list == null || list.size() == 0) {
printWriter.write("对不起,你还没有买过任何商品");
} else {
printWriter.write("您购置过以下商品:");
printWriter.write("<br/>");
for (Book book : list) {
printWriter.write(book.getName());
printWriter.write("<br/>");
}
}
- 结果以下
Session的完成道理
- 用征象申明题目,我在Servlet4中的代码设置了Session的属性
//获得Session对象
HttpSession httpSession = request.getSession();
//设置Session属性
httpSession.setAttribute("name", "看完博客就要点赞!!");
- 接着在Servlet7把Session的属性掏出来
String value = (String) request.getSession().getAttribute("name");
printWriter.write(value);
- 自然地,我们能取到在Servlet4中Session设置的属性
- 接着,我在阅读器中新建一个会话,再次接见Servlet7
- 发明报了空指针异常的毛病
- 如今题目来了:效劳器是怎样完成一个session为一个用户阅读器效劳的?换个说法:为何效劳器可以为差别的用户阅读器供应差别session?
- HTTP协定是无状况的,Session不能根据HTTP连接来推断是不是为同一个用户。因而乎:效劳器向用户阅读器发送了一个名为JESSIONID的Cookie,它的值是Session的id值。实在Session根据Cookie来识别是不是是同一个用户。
- 简朴来讲:Session 之所以可以识别差别的用户,依托的就是Cookie
- 该Cookie是效劳器自动颁发给阅读器的,不必我们手工建立的。该Cookie的maxAge值默许是-1,也就是说仅当前阅读器运用,不将该Cookie存在硬盘中
- 我们来捋一捋思绪流程:当我们接见Servlet4的时刻,效劳器就会建立一个Session对象,实行我们的程序代码,并自动颁发个Cookie给用户阅读器
- 当我们用同一个阅读器接见Servlet7的时刻,阅读器会把Cookie的值经由过程http协定带过去给效劳器,效劳器就晓得用哪一Session。
- 而当我们运用新会话的阅读器接见Servlet7的时刻,该新阅读器并没有Cookie,效劳器没法识别运用哪个Session,所以就猎取不到值
阅读器禁用了Cookie,Session还能用吗?
上面说了Session是依托Cookie来识别用户阅读器的。假如我的用户阅读器禁用了Cookie了呢?绝大多数的手机阅读器都不支撑Cookie,那我的Session怎么办?
- 好的,我们来看看状况是怎样的。用户阅读器接见Servlet4的时刻,效劳器向用户阅读器颁发了一个Cookie
- 然则呢,当用户阅读器接见Servlet7的时刻,由于我们禁用了Cookie,所以用户阅读器并没有把Cookie带过去给效劳器。
- 一看,Session彷佛不能用了。然则Java Web供应了处置惩罚要领:URL地点重写
HttpServletResponse类供应了两个URL地点重写的要领:
- encodeURL(String url)
- encodeRedirectURL(String url)
- 须要值得注重的是:这两个要领会自动推断该阅读器是不是支撑Cookie,假如支撑Cookie,重写后的URL地点就不会带有jsessionid了【固然了,纵然阅读器支撑Cookie,第一次输出URL地点的时刻照样会涌现jsessionid(由于没有任何Cookie可带)】
- 下面我们就以上面“购物”的例子来做试验吧!起首我们来看看禁用掉Cookie对本来的小例子有什么影响。
- 接见Servlet1,随意点击一本书本购置
- 不管点击多少次,都邑直接提醒我们有买过任何商品
- 缘由也异常简朴,没有Cookie通报给效劳器,效劳器每次建立的时刻都是新的Session,致使末了猎取到的List鸠合一定是空的。
- 差别Servlet猎取到的Session的id号都是差别的。
- 下面我们就对URL举行重写,看看能不能恢复没有禁掉Cookie之前的结果。
- 准绳:把Session的属性带过去【通报给】别的一个Servlet,都要URL地点重写
- 在跳转到显现购置过商品的Servlet的时刻,URL地点重写。
String url = "/ouzicheng/Servlet7";
response.sendRedirect(response.encodeURL(url));
- 再次接见Servlet1,当我点击javaweb的时刻,已可以胜利涌现我买过的商品了。而且Session的id经由过程URL地点重写,运用的是同一个Session
- URL地点重写的道理:将Session的id信息重写到URL地点中。效劳器剖析重写后URL,猎取Session的id。如许一来,纵然阅读器禁用掉了Cookie,但Session的id经由过程效劳器端通报,照样可以运用Session来纪录用户的状况。
Session禁用Cookie
- Java Web范例支撑经由过程设置禁用Cookie
禁用本身项目的Cookie
- 在META-INF文件夹下的context.xml文件中修正(没有则建立)
![](http://i.imgur.com/Szu5o1m.png)
```xml
<?xml version='1.0' encoding='utf-8'?>
<Context path="/ouzicheng" cookies="false">
</Context>
```
禁用悉数web运用的Cookie
- 在conf/context.xml中修正
![](http://i.imgur.com/dFrvztb.png)
注重:该设置只是让效劳器不能自动保护名为jsessionid的Cookie,并不能阻挠Cookie的读写。
Session案例
运用Session完成用户简朴上岸
- 先建立User类
private String username = null;
private String password = null;
public User() {
}
public User(String username, String password) {
this.username = username;
this.password = password;
}
....种种set、get要领
- 运用简朴的鸠合模仿一个数据库
private static List<User> list = new ArrayList<>();
//装载些数据进数据库
static {
list.add(new User("aaa","111"));
list.add(new User("bbb","222"));
list.add(new User("ccc","333"));
}
//经由过程用户名和暗码查找用户
public static User find(String username, String password) {
for (User user : list) {
if (user.getUsername().equals(username) && user.getPassword().equals(password)) {
return user;
}
}
return null;
}
- 表单提交的事情我就在jsp写了,假如在Servlet写太麻烦了!
<form action="/ouzicheng/LoginServlet" method="post">
用户名:<input type="text" name="username"><br/>
暗码:<input type="password" name="password"><br/>
<input type="submit" value="提交">
</form>
- 猎取到表单提交的数据,查找数据库是不是有相对应的用户名和暗码。假如没有就提醒用户名或暗码出错了,假如有就跳转到别的一个页面
String username = request.getParameter("username");
String password = request.getParameter("password");
User user = UserDB.find(username, password);
//假如找不到,就是用户名或暗码出错了。
if (user == null) {
response.getWriter().write("you can't login");
return;
}
//标记住该用户已上岸了!
HttpSession httpSession = request.getSession();
httpSession.setAttribute("user", user);
//跳转到其他页面,关照用户胜利上岸了。
response.sendRedirect(response.encodeURL("index.jsp"));
- 我们来尝尝下数据库没有的用户名和暗码,提醒我不能上岸。
- 尝尝数据库存在的用户名和暗码
应用Session防备表单反复提交
反复提交的伤害:
- 在投票的网页上不停地提交,完成了刷票的结果。
- 注册多个用户,不停发帖子,骚动扰攘侵犯一般发帖次序。
起首我们来看一下罕见的反复提交。
- 在处置惩罚表单的Servlet中革新。
- 退却再提交
- 收集耽误,屡次点击提交按钮
- 下面的gif是退却再提交,在处置惩罚提交要求的Servlet中革新
- 下面的gif是收集耽误,屡次点击提交按钮
- 关于收集耽误形成的屡次提交数据给效劳器,实际上是客户端的题目。因而,我们可以运用javaScript来防备这类状况
- 要做的事变也异常简朴:当用户第一次点击提交按钮时,把数据提交给效劳器。当用户再次点击提交按钮时,就不把数据提交给效劳器了。
- 监听用户提交事宜。只能让用户提交一次表单!
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>表单提交</title>
<script type="text/javascript">
//定义一个全局标识量:是不是已提交过表单数据
var isCommitted = false;
function doSubmit() {
//false示意的是没有提交过,因而就可以让表单提交给Servlet
if(isCommitted==false) {
isCommitted = true;
return true;
}else {
return false;
}
}
</script>
</head>
<body>
<form action="/ouzicheng/Servlet7" onsubmit="return doSubmit()">
用户名:<input type="text" name="username">
<input type="submit" value="提交">
</form>
</body>
</html>
- 好的,我们来试一下是不是是真的可以处置惩罚收集耽误所形成的屡次提交表单数据,注重鼠标,我已点击过很屡次的了!
- 由于收集耽误形成的屡次提交数据给效劳器,我们还可以运用javaScript代码如许处置惩罚:当我点击过一次提交按钮时,我就把提交的按钮隐蔽起来。不能让用户点击了!
- 想要让按钮隐蔽起来,也很简朴。只需猎取到按钮的节点,就可以掌握按钮的隐蔽或显现了!
<script type="text/javascript">
function doSubmit() {
var button = document.getElementById("button");
button.disabled = disabled;
return true;
}
</script>
- 我们再来看一下结果
- 在处置惩罚表单的Servlet中革新和退却再提交这两种体式格局不能只靠客户端来限定了。也就是说javaScript代码没法阻挠这两种状况的发作。
- 因而乎,我们就想得用其他方法来阻挠表单数据反复提交了。我们如今学了Session,Session可以用来标识一个用户是不是上岸了。Session的道理也说了:差别的用户阅读器会具有差别的Session。而request和ServletContext为何就不可呢?request的域对象只能是一次http要求,提交表单数据的时刻request域对象的数据取不出来。ServletContext代表全部web运用,假如有几个用户阅读器同时接见,ServletContext域对象的数据会被屡次覆蓋掉,也就是说域对象的数据就毫无意义了。
- 可以到这里,我们会想到:在提交数据的时刻,存进Session域对象的数据,在处置惩罚提交数据的Servlet中推断Session域对象数据????。终究推断Session什么?推断Session域对象的数据不为null?没用呀,既然已提交过来了,那一定不为null。
此时,我们就想到了,在表单中另有一个隐蔽域,可以经由过程隐蔽域把数据交给效劳器。
- 推断Session域对象的数据和jsp隐蔽域提交的数据是不是对应。
- 推断隐蔽域的数据是不是为空【假如为空,就是直接接见表单处置惩罚页面的Servlet】
- 推断Session的数据是不是为空【servlet推断完是不是反复提交,最好能立马移除Session的数据,不然还没有移除的时刻,客户端那边儿的要求又来了,就又能匹配了,发生了反复提交。假如Session域对象数据为空,证实已提交过数据了!】
- 我们向Session域对象的存入数据终究是什么呢?简朴的一个数字?彷佛也行啊。由于只需Session域对象的数据和jsp隐蔽域带过去的数据对得上号就行了呀,反正在Servlet上推断完是不是反复提交,会立马把Session的数据移撤除的。更专业的做法是:向Session域对象存入的数据是一个随机数【Token–令牌】。
- 天生一个举世无双的随机数
/*
* 发生随机数就应当用一个对象来天生,如许可以防止随机数的反复。
* 所以设想成单例
* */
public class TokenProcessor {
private TokenProcessor() {
}
private final static TokenProcessor TOKEN_PROCESSOR = new TokenProcessor();
public static TokenProcessor getInstance() {
return TOKEN_PROCESSOR;
}
public static String makeToken() {
//这个随机天生出来的Token的长度是不肯定的
String token = String.valueOf(System.currentTimeMillis() + new Random().nextInt(99999999));
try {
//我们想要随机数的长度一致,就要猎取到数据指纹
MessageDigest messageDigest = MessageDigest.getInstance("md5");
byte[] md5 = messageDigest.digest(token.getBytes());
//假如我们直接 return new String(md5)出去,获得的随机数会乱码。
//由于随机数是恣意的01010101010,在转换成字符串的时刻,会查gb2312的码表,gb2312码表不一定支撑该二进制数据,获得的就是乱码
//因而乎经由base64编码成了明文的数据
BASE64Encoder base64Encoder = new BASE64Encoder();
return base64Encoder.encode(md5);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
}
return null;
}
}
- 建立Token随机数,并跳转到jsp页面
//生出随机数
TokenProcessor tokenProcessor = TokenProcessor.getInstance();
String token = tokenProcessor.makeToken();
//将随机数存进Session中
request.getSession().setAttribute("token", token);
//跳转到显现页面
request.getRequestDispatcher("/login.jsp").forward(request, response);
- jsp隐蔽域猎取到Session的值
<form action="/ouzicheng/Servlet7" >
用户名:<input type="text" name="username">
<input type="submit" value="提交" id="button">
<%--运用EL表达式掏出session中的Token--%>
<input type="hidden" name="token" value="${token}" >
</form>
- 在处置惩罚表单提交页面中推断:jsp隐蔽域是不是有值带过来,Session中的值是不是为空,Session中的值和jsp隐蔽域带过来的值是不是相称
String serverValue = (String) request.getSession().getAttribute("token");
String clientValue = request.getParameter("token");
if (serverValue != null && clientValue != null && serverValue.equals(clientValue)) {
System.out.println("处置惩罚要求");
//消灭Session域对象数据
request.getSession().removeAttribute("token");
}else {
System.out.println("请不要反复提交数据!");
}
- 下面我们再来看一下,已可以处置惩罚表单反复提交的题目了!
完成道理是异常简朴的:
- 在session域中存储一个token
- 然后前台页面的隐蔽域猎取获得这个token
- 在第一次接见的时刻,我们就推断seesion有无值,假如有就比对。对照准确后我们就处置惩罚要求,接着就把session存储的数据给删除了
- 比及再次接见的时刻,我们session就没有值了,就不受理前台的要求了!
一次性校验码
- 一次性校验码实在就是为了防备暴力猜想暗码
- 在讲response对象的时刻,我们运用response对象输出过考证码,然则没有去考证!
- 考证的道理也异常简朴:天生考证码后,把考证码的数据存进Session域对象中,推断用户输入考证码是不是和Session域对象的数据一致。
- 天生考证码图片,并将考证码存进Session域中
//在内存中天生图片
BufferedImage bufferedImage = new BufferedImage(80, 20, BufferedImage.TYPE_INT_RGB);
//猎取到这张图片
Graphics2D graphics2D = (Graphics2D) bufferedImage.getGraphics();
//设置背景色为白色
graphics2D.setColor(Color.white);
graphics2D.fillRect(0, 0, 80, 20);
//设置图片的字体和色彩
graphics2D.setFont(new Font(null, Font.BOLD, 20));
graphics2D.setColor(Color.BLUE);
//天生随机数
String randomNum = makeNum();
//往这张图片上写数据,横坐标是0,纵坐标是20
graphics2D.drawString(randomNum, 0, 20);
//将随机数存进Session域中
request.getSession().setAttribute("randomNum", randomNum);
//掌握阅读器不缓存该图片
response.setHeader("Expires", "-1");
response.setHeader("Cache-Control", "no-cache");
response.setHeader("Pragma", "no-cache");
//关照阅读器以图片的体式格局翻开
response.setHeader("Content-type", "image/jpeg");
//把图片写给阅读器
ImageIO.write(bufferedImage, "jpg", response.getOutputStream());
- 天生随机数的要领:
private String makeNum() {
Random random = new Random();
//天生0-6位的随机数
int num = random.nextInt(999999);
//考证码的数位全都要6位数,因而将该随机数转换成字符串,不够位数就增加
String randomNum = String.valueOf(num);
//运用StringBuffer来拼集字符串
StringBuffer stringBuffer = new StringBuffer();
for (int i = 0; i < 6 - randomNum.length(); i++) {
stringBuffer.append("0");
}
return stringBuffer.append(randomNum).toString();
}
- jsp显现页面
<form action="/ouzicheng/Login2Servlet">
用户名:<input type="text" name="username"><br>
暗码:<input type="password" name="password"><br>
考证码:<input type="text" name="randomNum">
<img src="/ouzicheng/ImageServlet" ><br><br>
<input type="submit" value="提交">
</form>
- 处置惩罚提交表单数据的Servlet,推断用户带过来考证码的数据是不是和Session的数据雷同。
//猎取用户输入考证码的数据
String client_randomNum = request.getParameter("randomNum");
//猎取Session中的数据
String session_randomNum = (String) request.getSession().getAttribute("randomNum");
//推断他俩数据是不是相称,用户是不是有输入考证码,Session中是不是为空
if (client_randomNum == null || session_randomNum == null || !client_randomNum.equals(session_randomNum)) {
System.out.println("考证码毛病了!!!");
return ;
}
//下面就是考证用户名和暗码...................
- 显现页面是如许子的
- 我们来看一下结果!
关于校验码完成思绪是如许子的:
- 运用awt语法来形貌一张考证码,天生随机数保留在seesion域中,我们让考证码不能缓存起来【做到考证码都不一样】
- 页面直接接见Servlet来猎取我们的考证码,因而我们考证码的值就会转变【同时session的值也会被转变】
- 当用户考证的时刻,就是session内的值的考证了。
Session和Cookie的区分
从存储体式格局上比较
- Cookie只能存储字符串,假如要存储非ASCII字符串还要对其编码。
- Session可以存储任何范例的数据,可以把Session看成是一个容器
从隐私平安上比较
- Cookie存储在阅读器中,对客户端是可见的。信息轻易泄漏出去。假如运用Cookie,最好将Cookie加密
- Session存储在效劳器上,对客户端是通明的。不存在敏感信息泄漏题目。
从有用期上比较
- Cookie保留在硬盘中,只须要设置maxAge属性为比较大的正整数,纵然封闭阅读器,Cookie照样存在的
- Session的保留在效劳器中,设置maxInactiveInterval属性值来肯定Session的有用期。而且Session依赖于名为JSESSIONID的Cookie,该Cookie默许的maxAge属性为-1。假如封闭了阅读器,该Session虽然没有从效劳器中灭亡,但也就失效了。
从对效劳器的累赘比较
- Session是保留在效劳器的,每一个用户都邑发生一个Session,假如是并发接见的用户异常多,是不能运用Session的,Session会斲丧大批的内存。
- Cookie是保留在客户端的。不占用效劳器的资本。像baidu、Sina如许的大型网站,平常都是运用Cookie来举行会话跟踪。
从阅读器的支撑上比较
- 假如阅读器禁用了Cookie,那末Cookie是无用的了!
- 假如阅读器禁用了Cookie,Session可以经由过程URL地点重写来举行会话跟踪。
从跨域名上比较
- Cookie可以设置domain属性来完成跨域名
- Session只在当前的域名内有用,不可夸域名
Cookie和Session配合运用
- 假如仅仅运用Cookie或仅仅运用Session可以达不到抱负的结果。这时候应当尝试一下同时运用Session和Cookie
- 那末,什么时刻才须要同时运用Cookie和Session呢?
- 在上一篇博客中,我们运用了Session来举行简朴的购物,功用也确实完成了。如今有一个题目:我在购物的途中,不小心封闭了阅读器。当我再返回进去阅读器的时刻,发明我购置过的商品纪录都没了!!为何会没了呢?缘由也异常简朴:效劳器为Session自动保护的Cookie的maxAge属性默许是-1的,当阅读器封闭掉了,该Cookie就自动灭亡了。当用户再次接见的时刻,已不是本来的Cookie了。
- 我们如今想的是:纵然我不小心封闭了阅读器了,我从新进去网站,我还能找到我的购置纪录。
- 要完成该功用也非常简朴,题目实在就在:效劳器为Session自动保护的Cookie的maxAge属性是-1,Cookie没有保留在硬盘中。我如今要做的就是:把Cookie保留在硬盘中,纵然我封闭了阅读器,阅读器再次接见页面的时刻,可以带上Cookie,从而效劳器识别出Session。
- 第一种体式格局:只须要在处置惩罚购置页面上建立Cookie,Cookie的值是Session的id返回给阅读器即可
Cookie cookie = new Cookie("JSESSIONID",session.getId());
cookie.setMaxAge(30*60);
cookie.setPath("/ouzicheng/");
response.addCookie(cookie);
- 第二种体式格局: 在server.xml文件中设置,将每一个用户的Session在效劳器封闭的时刻序列化到硬盘或数据库上保留。但此要领不经常使用,晓得即可!
- 下面看一下结果
假如文章有错的处所迎接斧正,人人相互交换。习气在微信看手艺文章的同砚,可以关注微信民众号:Java3y