java状态管理 cookie和session详细介绍

汪星人

2、状态管理
% R+ ]1 q9 I2 B9 r& I' d 1)什么是状态管理
  将客户端(一般是浏览器)与服务器之间的多次
' i- Y/ |8 h; q1 O4 J' B 交互当作一个整体来看待，即将多次操作所涉及的
数据记录下来。
: ?* r' `& \) l0 J% e8 T; ^ 2)怎样进行状态管理
: w+ R% L) w5 N  第一种方式，在客户端管理用户的状态
  (cookie)。
# h, `# {/ c& O+ J+ u  第二种方式，在服务器端管理用户的状态
  (session)。
3)cookie
  a,什么是cookie?
   浏览器在访问服务器时，服务器将一些数据
6 _1 R4 n: K2 x" J( C: S' B  以set-cookie消息头的形式发送给浏览器。浏览
$ B% F3 f! S( b; O: c" R  器会将这些数据保存起来。当浏览器再次访问
2 d: V5 j7 }; s1 L  服务器时，会将这些数据以cookie消息头的形式
5 T0 h: K! D1 Q, P! s# G  发送给服务器。通过这种方式，可以管理用户的
5 n: n% }3 u0 I9 _$ N  状态。
  b,怎样创建cookie?
   Cookie cookie = new Cookie(String name,
) p1 e4 C1 [# B1 P' u: T   String value);
   response.addCookie(cookie);
$ b7 j- G/ F( z+ U6 q: R& ]  c,查询cookie
6 w9 [& A$ f/ m: Y   //如果没有cookie，则返回null。
   Cookie[] cookies = request.getCookies();
   String name = cookie.getName();
! F( V( b* G" L, s1 n" ~; H- B   String value = cookie.getValue();
  d,cookie保存时的编码问题
. c% J% X. y# F   cookie的值只能是ascii字符，如果是中文，
   需要将中文转换成ascii字符形式。
   可以使用URLEncoder.encode()方法和
5 g5 T6 [2 B9 C/ r8 J. n6 C" |   URLDecoder.decode()方法来进行这种转换。
  e,cookie的保存时间
; e+ u5 r& ?  I3 \4 g, r! H   cookie.setMaxAge(int seconds);
   seconds > 0:浏览器会将cookie以文件的方式
   保存在硬盘上。在超过指定的时间以后，会删除
* z, x0 ?( |* v1 a" B" a   该文件。
   seconds < 0:默认值，浏览器会将cookie保存
   在内存里面。只有当浏览器关闭之后，才会删除。
) ~- l6 `7 e; I   seconds = 0:删除。
5 u6 L. c- b/ F" M7 K  f,删除cookie
   比如要删除一个name为"username"的cookie。
   Cookie c = new Cookie("username","");
5 @% A/ d, v8 P. V2 r# M   c.setMaxAge(0);
   response.addCookie(c);
# K4 F: E: o+ X+ a+ g  g,cookie的路径问题
   浏览器在向服务器上的某个地址发送请求时，
8 C/ C2 K" |8 Z  会先比较cookie的路径与向访问的路径(地址)是
% q5 S6 J& E: `  否匹配。只有匹配的cookie，才会发送。
9 Y/ P1 p. j3 c. ~   cookie的路径可以通过
   cookie.setPath(String path)方法来设置。
   如果没有设置,则有一个缺省的路径，缺省的
   路径是生成该cookie的组件的路径。
    比如: /appname/addCookie保存了一个cookie,
   则该cookie的路径就是/appname/addCookie。
- A( u2 w7 P- T9 d6 k8 B6 f   
   规则:
, @! Y# |- m. g; j- n1 c/ q    cookie的路径必须是要访问的路径的上层目录
, o4 B" H- o0 H$ f3 O! z/ c$ F$ v. a    或者是与要访问的路径相等，浏览器才会
* [$ L% j3 w- r. u6 Y8 _    将cookie发送给服务器。
  P5 l: B+ D+ V: m2 S- l   
    一般可以设置setPath("/appname"),表示访问
    该应用下的所有地址，均会发送cookie。
6 w0 H% }$ j9 c: w1 p0 T8 x  h,cookie的限制
   cookie可以禁止
   cookie的大小有限制(4k左右)
' R% V& d. j* D( d! w   cookie的数量也有限制(浏览器大约能保存300个)
9 r" R- V3 v, G! a" _   cookie的值只能是字符串，要考虑编码问题。
: U2 ]: [" T7 \8 z/ f   cookie不安全
练习：
  写一个Add_FindCookieServlet,该servlet先查询
有没有一个名叫name的cookie，如果有，则显示
该cookie的值，如果没有，则创建该cookie(
cookie的名字:name,cookie的值:zs)。
  
7 \6 a, d1 S0 N0 C. |  
: _3 z+ F# n7 Z/ c 4)session
* l. P$ h2 w$ g) u( S/ W  a,什么是session?
  浏览器访问服务器时，服务器会创建一个session
5 G0 a5 e, Y. Z0 z2 f, W' U' M+ t  对象(该对象有一个唯一的id, 一般称为sessionId)
# e' k. R7 `& a" g% z% ?- i  。服务器在缺省情况下，会将sessionId以cookie
  机制发送给浏览器。当浏览器再次访问服务器时，
  会将sessionId发送给服务器。服务器依据sessionId
, ^9 K# z7 O1 O, ?2 U3 p  就可以找到对应的session对象。通过这种方式，
# P- Y, j. C9 U" {" z  就可以管理用户的状态。
  b,如何获得session对象
   方式一:
/ t" a3 F) Z0 R6 b    HttpSession session =
7 D+ U+ G- M4 ]: _; B/ I0 K    request.getSession(boolean flag);
" ?4 j' j8 A6 C" g    当flag = true:
     服务器会先查看请求中是否包含sessionId,
     如果没有，则创建一个session对象。
     如果有，则依据sessionId去查找对应的
: l; A* Q: Z7 g$ `( g& d3 a     session对象，如果找到，则返回。
     如果找不到，则创建一个新的session对象。
# Y5 ^+ I9 Q, ]" d7 X8 n. j    当flag = false:
     服务器会先查看请求中是否包含sessionId,
2 t( u; b  F. i9 D     如果没有,返回null。
6 f! B" E% r  p' W0 R) x     如果有，则依据sessionId去查找对应的
     session对象，如果找到，则返回。
8 |3 E6 n! d# ^. `7 `     如果找不到，返回null。
; R7 L0 d0 j& J1 |   方式二:
    HttpSession session =
7 _: S" s) j1 i- Z    request.getSession();
) H1 C5 e, n" m* E8 D& A; N$ v. A    与request.getSession(true)等价。
  c,HttpSession接口提供的一些方法
. D, g( t. ^! N* O& J# O$ M0 a    //获得sessionId。
    String session.getId();
; q0 H& V& k2 r# p* [    //绑订数据
    session.setAttribute(
# W# h/ z. @! q2 N5 @5 D. @    String name,Object obj);
. K' U. d* y' }  k    //obj最好实现Serializable接口(服务器
& C( B' p  Q9 m3 t  {    在对session进行持久化操作时，比如钝化
    、激活，会使用序列化协议)。
( t8 F6 `- ]4 k% A8 i. Q9 r7 s    Object session.getAttribute(String name);
$ n0 v. K* {* n  k- @$ _    //如果name对应的值不存在，返回null。
0 X8 {  b( L; h    session.removeAttribute(String name);
7 O0 E. \" V4 v/ V2 ~$ K  d,session超时
    服务器会将超过指定时间的session对象
) E0 O- u, d: ~   删除(在指定的时间内，该session对象没有
  c5 _* \: O& q  |; j   使用)。
2 p7 ?1 L% R+ o7 u) j. o' K' t    方式一：
     session.setMaxInactiveInterval(
    int seconds);
" z# v/ A' e$ L) {  H1 W# o+ |    方式二：
     服务器有一个缺省的超时限制，可以
    通过相应的配置文件来重新设置。
     比如可以修改tomcat的web.xml(
     tomcat_home/conf下面)。
" L% J% W4 |9 w3 A, R     <session-config>
  F# c2 B% t1 u% q          <session-timeout>30</session-timeout>
$ Q3 j& h, ^( @# e5 P* Z       </session-config>
1 \8 x) p0 ], J, Z' _    另外，也可以只修改某个应用的web.xml。
$ k) p/ d! t# ]3 I" q8 Z# F  e,删除session
+ ]. s6 y% h& C$ M   session.invalidate();
7 o" ]5 m, g9 J5 N( |5 H# u" l   
案例:
: B. g: u# z- y" T' R8 ?5 Z) L  session验证
  step1 在登录成功之后，在session上绑订一些数据。
/ ~- E* d* [# I' K9 X& C 比如:
  session.setAttribute("user",user);
$ _1 W/ I1 {# V. a  step2 在访问需要保护的页面或者资源时，执行
  Object obj = session.getAttribute("user")；
  如果obj为null,说明没有登录，一般重定向到
  登录页面。

发光的影子

看了看  学习学习  哈哈哈哈

java宫城大师

学习一下。谢谢

woniu

这个项目太棒勒！下下来学习下！

welcome123

以前不太理解，现在看了后，明白了很多

wudizxt

不错不错不错