一文学懂Cookie与Session的区别

正文开始

一张思维导图了解

Session用来实现用户会话

Session对应类名:HttpSession（javax.servlet.http.HttpSession）

Session是JSP内置的对象

会话的理解

• 什么是会话？

  • 用户打开浏览器，对浏览器进行一系列操作，最终关闭浏览器的过程中，这个整个过程叫做 ： 会话。会话在服务器端也对应一个Java对象，这个Java对象叫做 ： session。
  • 什么是一次请求：用户在浏览器上点击了一下，然后到页面停下来，可以粗略认为是一次请求。请求对应的服务器端的Java对象是：request。
  • 一个会话当中包含多次请求。（ 一次会话对应N次请求。）

• 在Java的servlet规范当中，session对应的类名：HttpSession。

• Session机制实际上是一个规范。然后不同的语言对这种会话机制都有实现。

对于会话有了基本的理解以后，我们来看一下，它的作用是什么

Seesion的作用

• Session对象最主要的作用是：保存会话状态。（用户登录成功了，这是一种登录成功的状态，你怎么把登录成功的状态一直保存下来呢？使用session对象可以保留会话状态。）

  

既然Session是用来保存会话状态的，那么我们就会有一个疑惑，为什么要用它来保存会话状态。因为客户端发送请求以后，它和服务器的连接就断开了。

• 为什么需要Session对象来保存会话状态呢 ？

  • 因为HTTP是无状态的
  • 什么是无状态：请求的时候，B和S是连接的，但是请求结束之后，连接就断了。为什么要这么做？HTTP协议为什么要设计成这样？因为这样的无状态协议，可以降低服务器的压力。请求的瞬间是连接的，请求结束之后，连接断开，这样服务器压力小。
  • 只要B/S断开了，也就是关闭浏览器这个动作，服务器是不知道的。

• 张三打开一个浏览器A，李四打开一个浏览器B，访问服务器之后，在服务器端会生成：

• • 张三专属的 Session 对象
  • 李四专属的 Session 对象

• 为什么不使用request对象保存会话状态？为什么不使用ServletContext对象保存会话状态？

• • request.setAttribute()存，request.getAttribute()取，ServletContext也有这个方法。request是请求域。ServletContext是应用域。
  • request 是一次请求一个对象。
  • ServletContext 对象是服务器启动的时候创建，服务器关闭的时候销毁，这个ServletContext对象只有一个。
  • ServletContext对象的域太大。
  • request请求域（HttpServletRequest）、session会话域（HttpSession）、application域（ServletContext）
  • request < session < application

HTTP协议的无状态特点

服务器没有办法识别每一次请求是从哪一台电脑访问的，它能接收请求，但是它不知道这个请求是从哪里来的，不知道要响应给谁。比如说我们买东西，添加购物车，由于它无法识别是来自哪一个客户端的请求，它就可能把我们的请求发送给其他人，所以必须要有一种技术来让服务器知道请求来自哪里，这就是会话技术

**下面这一张图很清晰的概述了我们为什么需要会话技术 **

Seesion的实现原理（重点）

• Session的实现原理 ：

  • JSESSIONID = xxx 这个是以Cookie的形式保存在浏览器的内存中的。浏览器只要关闭。这个cookie就没有了。
  • Session列表是一个Map，Map的 key可以 SeesionId ，Map的 value 是 Session 对象。
  • 用户发送第一次请求时，服务器生成Session对象，同时生成SeesionId，然后将这个id以cookie的形式发送给浏览器。
  • 用户发送第二次 ，自动将浏览器内存中的SeesionId发送给服务器，服务器根据SeesionId来查找Seesion对象。
  • 关闭浏览器，内存消失，cookie消失，sessionid消失，会话等同于结束。

• 总结一下到目前位置我们所了解的域对象：

  • request（对应的类名：HttpServletRequest）

    • 请求域（请求级别的）

  • session（对应的类名：HttpSession）

    • 会话域（用户级别的）

  • application（对应的类名：ServletContext）

    • 应用域（项目级别的，所有用户共享的。）

  • 这三个域对象的大小关系

  • request < session < application

  • 他们三个域对象都有以下三个公共的方法：

    • setAttribute（向域当中绑定数据）
    • getAttribute（从域当中获取数据）
    • removeAttribute（删除域当中的数据）

• 使用原则：尽量使用小的域。

Session的常用方法

Session在实际开发中是用来记录我们的用户信息的，我们不需要每一次访问都输入用户名和密码，如果登录过一次，后面可以不用再输入，但是这是有一个周期的，不可能一直存着的，默认失效时间为1800秒(也就是30分钟)

Session数据的存取

• Session域对象数据的存取和其他三个域对象PageContext、Request、ServletContext是一样的。只需要调用下面两个方法：

  • setAttribute 设置属性
  • getAttribute 获取属性

• 编写下面的java代码去访问，就可以在Session域中设置属性，和获取属性。

protected void setAttribute(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
		HttpSession session = request.getSession();
		// 设置数据
		session.setAttribute("abc", "abc value");
		response.getWriter().write("设置属性值成功！");
	}
	
	protected void getAttribute(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
		HttpSession session = request.getSession();
		// 设置数据
		String value = (String) session.getAttribute("abc");
		response.getWriter().write("获取abc的属性值：" + value);
	}

修改session.html 中访问的连接地址，然后点击访问。

<li>
	<a href="sessionServlet?action=setAttribute" >Session域数据的存储</a></li>

<li>
	<a href="sessionServlet?action=getAttribute" >Session域数据的获取</a></li>

访问后效果图：

Session 的有效时间

• 基本原则

  • Session对象在服务器端不能长期保存，它是有时间限制的，超过一定时间没有被访问过的Session对象就应该释放掉，以节约内存。所以Session的有效时间并不是从创建对象开始计时，到指定时间后释放。而是从最后一次被访问开始计时，统计其"空闲"的时间。

• 默认时效

  • 在tomcat的conf 目录下web.xml配置文件中能够找到如下配置：

    <!-- ==================== Default Session Configuration ================= -->
      <!-- You can set the default session timeout (in minutes) for all newly   -->
      <!-- created sessions by modifying the value below.                       -->
    
        <session-config>
            <session-timeout>30</session-timeout>
        </session-config>

    说明：Session对象默认的最长有效时间为30分钟。

• 手动设置1：全局

  • 我们也可以在自己工程的web.xml文件中配置Session会话的超时时间为10分钟。

  • 记住一点，我们在web.xml文件中配置的Session会话超时时间是对所有Session都生效的。

    <!-- 设置Session默认的过期时间  -->
    <session-config>
    	<!-- 以分钟为单位。10分钟超时  -->
        <session-timeout>10</session-timeout>
    </session-config>

• 手动设置2：局部

  • int getMaxInactiveInterval() 获取超时时间。以秒为单位。

  • setMaxInactiveInterval (int seconds) 设置用户多长时间没有操作之后就会Session过期。以秒为单位。

    • 如果是正数。表示用户在给定的时间内没有任意操作，Session会话就会过期。
    • 如果是非正数（零&负数）。表示Session永不过期。

• 强制失效

  • invalidate()

• 示例代码

Session在3秒之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为3秒 
session.setMaxInactiveInterval(3);

Session在1分钟之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。 
HttpSession session = request.getSession();
// 设置过期时间为1分钟
session.setMaxInactiveInterval(60);

Session在1小时之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1小时
session.setMaxInactiveInterval(60 * 60);

Session在1天之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1天
session.setMaxInactiveInterval(60 * 60 * 24);

Session在1周之后超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置过期时间为1周
session.setMaxInactiveInterval(60 * 60 * 24 * 7);

Session永远不超时
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 设置永远不超时
session.setMaxInactiveInterval(-1);

Session马上超时（失效）
// 第一个调用就是获取一个新的Session。如果Session已经创建过。就获取原来的会话。
HttpSession session = request.getSession();
// 让Session对象立即过期
session.invalidate();

Session对象的释放

• Session对象空闲时间达到了目标设置的最大值，自动释放
• Session对象被强制失效
• Web应用卸载
• 服务器进程停止

Session的活化和钝化

• Session机制很好的解决了Cookie的不足，但是当访问应用的用户很多时，服务器上就会创建非常多的Session对象，如果不对这些Session对象进行处理，那么在Session失效之前，这些Session一直都会在服务器的内存中存在。那么，就出现了Session活化和钝化的机制。
• **Session钝化：**Session在一段时间内没有被使用或关闭服务器时，会将当前存在的Session对象及Session对象中的数据从内存序列化到磁盘的过程，称之为钝化。
• **Session活化：**Session被钝化后，服务器再次调用Session对象或重启服务器时，将Session对象及Session对象中的数据从磁盘反序列化到内存的过程，称之为活化。
• 如果希望Session域中的对象也能够随Session钝化过程一起序列化到磁盘上，则对象的实现类也必须实现java.io.Serializable接口。不仅如此，如果对象中还包含其他对象的引用，则被关联的对象也必须支持序列化，否则会抛出异常：java.io.NotSerializableException

浏览器和Session关联的技术内幕

一旦浏览器关闭之后，我们再去获取Session对象就会创建一个新的Session对象。这是怎么回事呢。现在让我们来看一下。这一系列操作过程中的内幕细节。

通过上图的分析，我们不难发现。当浏览器关闭之后。只是因为浏览器无法再通知服务器，之前创建的Session的会话id是多少了。所以服务器没办法找到对应的Session对象之后，就以为这是第一次访问服务器。就创建了新的Session对象返回。

Cookie

• Session的实现原理中 ： 每一个Seesion对象都会关联一个sessionid，例如 ：

  • JSESSIONID=41C481F0224664BDB28E95081D23D5B8

  • 以上的这个键值对数据其实就是cookie对象。

  • 对于session关联的cookie来说，这个cookie是被保存在浏览器的 运行内存 当中。

  • 只要浏览器不关闭，用户再次发送请求的时候，会自动将运行内存的cookie发送给服务器。

  • 例如 ， 这个cookie ：

    JSESSIONID=41C481F0224664BDB28E95081D23D5B8就会再次发送给服务器。

  • 服务器就是根据41C481F0224664BDB28E95081D23D5B8这个值来找到对应的session对象的。

• cookie怎么生成？cookie保存在什么地方？cookie有啥用？浏览器什么时候会发送cookie，发送哪些cookie给服务器？？？？？？？

• cookie最终是保存在浏览器客户端上面的。

  • 可以保存在运行内存中。（浏览器只要关闭cookie就会立即消失。）
  • 也可以保存在硬盘文件中。（永久保存）

• cookie有什么用呢 ？

  • cookie和session的机制其实都为了保存绘画的状态。
  • cookie是将会话的状态保存在浏览器客户端上。（cookie数据存储在浏览器客户端上的。）
  • session是将会话的状态保存在服务器端上。（session对象是存储在服务器上。）
  • 为什么要有cookie和session机制呢？因为HTTP协议是无状态 无连接协议。

经典案例

• cookie的经典案例

• • 京东商城，在未登录的情况下，向购物车中放几件商品。然后关闭商城，再次打开浏览器，访问京东商城的时候，购物车中的商品还在，这是怎么做的？我没有登录，为什么购物车中还有商品呢？

• 将购物车中的商品编号放到cookie当中，cookie保存在硬盘文件当中。这样即使关闭浏览器。硬盘上的cookie还在。下一次再打开京东商城的时候，查看购物车的时候，会自动读取本地硬盘中存储的cookie，拿到商品编号，动态展示购物车中的商品。

• 京东存储购物车中商品的cookie可能是这样的：productIds=xxxxx,yyyy,zzz,kkkk

  • 注意：cookie如果清除掉，购物车中的商品就消失了。

• cookie机制和session机制其实都不属于Java中的机制，其实cookie机制和session机制都是HTTP协议的一部分。不论是什么编程语言，cookie和session机制都时必不可少的。

• HTTP协议中规定 ： 任何一个cookie都是由name和value组成的。name和value都是字符串类型。

• 在 java的servlet中，对cookie提供了哪些支持呢？

  • 提供了一个Cookie类来专门表示cookie数据。javax.servlet.http.Cookie;
  • java程序怎么把cookie数据发送给浏览器呢？response.addCookie(cookie);

• 在HTTP协议中是这样规定的：当浏览器发送请求的时候，会自动携带该path下的cookie数据给服务器。（URL。）

• 关于cookie的有效时间

  • 怎么用Java设置cookie的有效时间

    • cookie.setMaxAge（60*60）；设置保存在一小时之后失效。

  • 没有设置有效时间 ： 默认保存在浏览器的运行内存中，浏览器关闭则cookie消失。

• 只要设置cookie的有效时间 > 0，这个cookie一定会存储到硬盘文件当中。

• 设置cookie的有效时间 = 0 呢？

  • cookie被删除，同名cookie被删除。
  • 设置cookie的有效时间 < 0 呢？
  • 保存在运行内存中。和不设置一样。

• 浏览器发送cookie给服务器了，服务器中的java程序怎么接收？

Cookie[] cookies = request.getCookies(); // 这个方法可能返回null

if(cookies != null){
    for(Cookie cookie : cookies){
        // 获取cookie的name
        String name = cookie.getName();
        // 获取cookie的value

        String value = cookie.getValue();
    }

}

Cookie的常用方法

方法	用途
void setMaxAge(int age)	设置Cookie的有效时间，单位为秒
int getMaxAge()	获取Cookie的有效时间
String getName/()	获取Cookie的name
String getValue()	获取Cookie的value

Seesion与Cookie的区别

Session: 保存在服务器，Session是一个对象保存在Java虚拟机中

保存的数据是Object

随着会话的结束而销毁

保存重要信息

Cookie: 保存在浏览器

只能保存String类型，类似于文本文件，存放的都是数据，而不是对象

可以长期保存在浏览器，与会话无关

保存不重要信息

存储用户信息：

Session:setAttribute(name,"admin") 存

getAttribute(name) 取

生命周期：服务端:只要WEB应用重启或者销毁

客户端:只要浏览器关闭就销毁

退出登录:session.invalidate();

Cookie:

Cookie cookie=new Cookie(name,"admin");

response.addCookie(cookie); 存

取数据

	Cookie[] cookies=request.getCookie();
 		for(Cookie cookie:cookies){
				if(cookie.getName().equals("name"){
						out.write("欢迎回来"+cookie.getValue());
			}
}

生命周期：不会随着服务端的重启而销毁，客户端：默认是只要关闭浏览器就会销毁，我们通过setMaxAge()方法来设置有效期，一旦设置了有效期，就不会随着浏览器的关闭而销毁，而是由设置的时间来决定

退出登录:setMaxAge(0)

Cookie是浏览器提供的一种技术，通过服务器的程序能把一些只须保存在客户端，或者在客户端进行处理的数据放在本地计算机上，不需要通过网络传送，因此提高网页处理效率，并且可以减少服务器的负载，但是因为Cookie是服务器端保存在客户端的信息，所以它的安全性也是很差的，例如：常见的记住密码就可以通过Cookie来实现

如果想要把Cookie随着响应发送到客户端，需要先添加到response对象中

cookie默认是关闭浏览器失效

Cookie的有效时间值

Cookie的注意点

1.cookie保存在当前浏览器，不能跨浏览器，更不用说换电脑了

2.cookie存中文问题

cookie不能存中文，如果有中文，则通过URLEncoder.encode()来进行编码

通过URLDecoder.decode()进行解码

3.同名cookie问题

如果服务器发送重复的cookie，那么会覆盖原来的cookie

4.cookie的数量

不同浏览器对cookie有限定，cookie的存储是有上限的，cookie存储在客户端(浏览器)的，而且一般是由服务器创建和指定，后期结合Session来实现会话追踪

Cookie路径的问题

Cookie的setPath（可以设置cookie的路径，这个路径直接决定服务器的请求是否会从浏览器中加载某些cookie

情景一：当前服务器下的任何项目的任意资源都可以获取Cookie对象

	//当前项目路径s
	Cookie cookie=new Cookie("xxx","xxx");
	//设置路径为"/",表示在当前项目下的任何项目都可以访问到cookie对象
	
	cookie.setPath("/");
 	response.addCookie(cookie);

情景二：当前项目下的资源都可获取Cookie对象(默认不设置Cookie的path)

当前项目路径s
Cookie cookie=new Cookie("xxx","xxx");
//设置路径为"/s",表示在当前项目下的任何项目都可以访问到cookie对象
//默认情况下可以不设置path的值
cookie.setPath("/s");
response.addCookie(cookie);

情景三：指定项目下的资源可获取Cookie对象

当前项目路径s
Cookie cookie=new Cookie("xxx","xxx");
//设置路径为"/s2",表示在s2项目下才可以访问到
cookie.setPath("/s2");
//只能在s2项目下获取cookie，就算cookie是s产生的，s也不能获取它
 	response.addCookie(cookie);

情景四：指定目录下的资源可获取Cookie对象

//当前项目路径s
Cookie cookie=new Cookie("xxx","xxx");
//设置路径为/s/cook,表示在s1/cook目录下面才可以访问到cookie对象
cookie.setPath("/s/cook");
response.addCookie(cookie);

Cookie的禁用问题

Cookie禁用了，session还能找到吗？

cookie禁用就是说服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。

找不到了。每一次请求都会获取到新的session对象。

cookie禁用了，session机制还能实现吗？

可以。需要使用URL重写机制。

http://localhost:8080/servlet12/test/session;jsessionid=19D1C99560DCBF84839FA43D58F56E16

URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候，后面都要添加一个sessionid，给开发带来了很大的难度，很大的成本。所以大部分的网站都是这样设计的：如果禁用cookie，就别用了。

URL重写（了解）

• 在整个会话控制技术体系中，保持JSESSIONID的值主要通过Cookie实现。但Cookie在浏览器端可能会被禁用，所以我们还需要一些备用的技术手段，例如：URL重写。

• URL重写其实就是将JSESSIONID的值以固定格式附着在URL地址后面，以实现保持JSESSIONID，进而保持会话状态。这个固定格式是：URL;jsessionid=xxxxxxxxx

• 例如：

  targetServlet;jsessionid=97120112D5538009334F1C6DEADB1BE7

• 实现方式：

  • response.encodeURL(String)
  • response.encodeRedirectURL(String)

• 示例代码

  //1.获取Session对象
  HttpSession session = request.getSession();
  		
  //2.创建目标URL地址字符串
  String url = "targetServlet";
  		
  //3.在目标URL地址字符串后面附加JSESSIONID的值
  url = response.encodeURL(url+";jsessionid=97120112D5538009334F1C6DEADB1BE7");
  		
  //4.重定向到目标资源
  response.sendRedirect(url);

处理表单重复提交问题

• 表单重复提交的危害

  • 可重复注册，对数据库进行批处理攻击。（验证码已解决该问题）
  • 可重复提交已付款表单，用户支付一次订单费用，下了多个订单
  • 等待...

• 解决表单重复提交的步骤

  • 生成一个不可重复（全球唯一）的随机数(uuid)

  • 在提交表单前，将随机数(uuid)分别存放到表单内的隐藏域，和session域对象中

  • 发送"提交表单"请求

  • 判断是否提交表单，具体操作如下：

    • 分别获取隐藏域和session域中的uuid

    • 判断两个域中的数据是否相等

      • 相等：提交表单，并将session域中的uuid移除
      • 不等：不提交表单

• UUID

  • 定义：是一个32位16进制的随机数
  • 特点：全球唯一
  • 使用：java.util.UUID.randomUUID()