java状态管理 cookie和session详细介绍

汪星人

2、状态管理
1)什么是状态管理
  将客户端(一般是浏览器)与服务器之间的多次
交互当作一个整体来看待，即将多次操作所涉及的
# f' N* q+ b! }* t# b0 H 数据记录下来。
4 X1 u- g. S; o9 X- R4 G 2)怎样进行状态管理
  第一种方式，在客户端管理用户的状态
4 E" v1 c+ x3 ^8 Z, }- r9 }  (cookie)。
  第二种方式，在服务器端管理用户的状态
: l# l& u* z3 E* O! l  (session)。
3 l. ~2 e2 ~1 q. ~# {  D9 P 3)cookie
6 S7 L, y  V' \  a,什么是cookie?
% u" |# g1 N$ _' t$ k: T; g+ T   浏览器在访问服务器时，服务器将一些数据
  以set-cookie消息头的形式发送给浏览器。浏览
! U1 Y' b: I( G& M% `+ B  器会将这些数据保存起来。当浏览器再次访问
  服务器时，会将这些数据以cookie消息头的形式
& M$ O' l& B& U) k, }% C  发送给服务器。通过这种方式，可以管理用户的
' Z8 u( u' z. b+ L" i4 y  状态。
" y; V7 E- ]& N* E+ ^, W3 o3 I+ u  b,怎样创建cookie?
4 r: T5 x. l4 G9 X+ @   Cookie cookie = new Cookie(String name,
   String value);
   response.addCookie(cookie);
  c,查询cookie
# g2 |/ U  Z1 K9 B* ]) F   //如果没有cookie，则返回null。
   Cookie[] cookies = request.getCookies();
8 f* N  j1 c- n8 C% K& V- Y   String name = cookie.getName();
; F" B3 e/ l# @9 I% X  _0 {   String value = cookie.getValue();
% U" f2 n. Y; A: G. w  d,cookie保存时的编码问题
4 a/ L8 h5 M/ ^- ^   cookie的值只能是ascii字符，如果是中文，
% a" l  h3 ?: M7 E$ H' X   需要将中文转换成ascii字符形式。
   可以使用URLEncoder.encode()方法和
1 Z  @7 s1 w; v   URLDecoder.decode()方法来进行这种转换。
  e,cookie的保存时间
4 c4 b- _; h7 G; ]   cookie.setMaxAge(int seconds);
4 P; K# k+ r4 h+ L   seconds > 0:浏览器会将cookie以文件的方式
0 U. }6 T: v" l. h1 c5 s  [   保存在硬盘上。在超过指定的时间以后，会删除
   该文件。
   seconds < 0:默认值，浏览器会将cookie保存
   在内存里面。只有当浏览器关闭之后，才会删除。
$ h+ |4 k2 l% ~- [5 O6 w   seconds = 0:删除。
  f,删除cookie
   比如要删除一个name为"username"的cookie。
   Cookie c = new Cookie("username","");
   c.setMaxAge(0);
   response.addCookie(c);
1 T8 ?5 B4 x8 i  g,cookie的路径问题
% ~5 g! b/ Y' w: y   浏览器在向服务器上的某个地址发送请求时，
2 l2 M6 a7 {9 ]  会先比较cookie的路径与向访问的路径(地址)是
  否匹配。只有匹配的cookie，才会发送。
   cookie的路径可以通过
2 r. |# u) ?* v9 j! t, b   cookie.setPath(String path)方法来设置。
& i/ {% _% J" t4 J   如果没有设置,则有一个缺省的路径，缺省的
2 n, D" P: L, I; y; E: A" q: K   路径是生成该cookie的组件的路径。
    比如: /appname/addCookie保存了一个cookie,
   则该cookie的路径就是/appname/addCookie。
   
   规则:
5 X0 I7 g# b, W  o& K    cookie的路径必须是要访问的路径的上层目录
% B! x, w# S' P3 [/ l    或者是与要访问的路径相等，浏览器才会
' u3 R. b0 Y1 y! `. M2 W    将cookie发送给服务器。
. P' `: ?) P* m. y0 P% j9 z   
    一般可以设置setPath("/appname"),表示访问
$ K% M2 I% Q$ Q    该应用下的所有地址，均会发送cookie。
  h,cookie的限制
  Q5 O4 z0 c$ |   cookie可以禁止
7 D- N/ R$ U; r7 M   cookie的大小有限制(4k左右)
   cookie的数量也有限制(浏览器大约能保存300个)
+ ]: v% ]$ t3 h- n: q# I0 ]   cookie的值只能是字符串，要考虑编码问题。
' i! ?  L% j5 F% z/ B( s   cookie不安全
练习：
1 E# l$ m9 |5 ]% g  写一个Add_FindCookieServlet,该servlet先查询
1 G( G$ ?5 s( p) @9 x- ~ 有没有一个名叫name的cookie，如果有，则显示
该cookie的值，如果没有，则创建该cookie(
cookie的名字:name,cookie的值:zs)。
  
4 |" ^# C; F6 K" M# L7 K5 L5 f7 o* N  
4)session
% J# ?1 I% X- d' R2 {: p* X  a,什么是session?
& g9 [7 k7 T% G* }/ `. k3 O: ^  浏览器访问服务器时，服务器会创建一个session
, P! A7 U9 ~6 G+ Q" G, c: j  对象(该对象有一个唯一的id, 一般称为sessionId)
. |2 G- @& J1 E  。服务器在缺省情况下，会将sessionId以cookie
  机制发送给浏览器。当浏览器再次访问服务器时，
  会将sessionId发送给服务器。服务器依据sessionId
6 M  _6 d8 z2 C4 s( U3 Z  就可以找到对应的session对象。通过这种方式，
  就可以管理用户的状态。
  b,如何获得session对象
7 ~* ]6 [4 o4 q- Q+ N   方式一:
    HttpSession session =
3 L9 x, s  x6 M  M    request.getSession(boolean flag);
7 z7 e/ \9 g; @    当flag = true:
" T+ D1 F4 H# i4 Z2 i     服务器会先查看请求中是否包含sessionId,
" A6 M* n$ c% \6 Z( d6 R     如果没有，则创建一个session对象。
     如果有，则依据sessionId去查找对应的
     session对象，如果找到，则返回。
5 I2 D& \" O- n7 @; ]     如果找不到，则创建一个新的session对象。
6 M) z/ N* Q: o$ H: S4 N4 Y    当flag = false:
     服务器会先查看请求中是否包含sessionId,
: a. i  [+ [0 j: Y9 h7 a) _3 E     如果没有,返回null。
2 V( s4 W7 Y8 g* F# \  _) P     如果有，则依据sessionId去查找对应的
) A5 \/ b* M' X' u     session对象，如果找到，则返回。
0 o/ M( {( b9 x9 l1 T4 B     如果找不到，返回null。
+ u# v8 H* h" J, c$ G   方式二:
    HttpSession session =
    request.getSession();
  C# l4 R( M6 F" `" H& h/ \    与request.getSession(true)等价。
  c,HttpSession接口提供的一些方法
    //获得sessionId。
    String session.getId();
) P' i( }4 D0 m9 T) ^4 A    //绑订数据
    session.setAttribute(
    String name,Object obj);
    //obj最好实现Serializable接口(服务器
1 D6 ~: q! `$ _. U    在对session进行持久化操作时，比如钝化
    、激活，会使用序列化协议)。
    Object session.getAttribute(String name);
4 F% @9 d, I6 M' ~3 C, ^    //如果name对应的值不存在，返回null。
: }5 h% \8 |- [    session.removeAttribute(String name);
  d,session超时
# L$ _# {; \9 e3 ^1 x( q( m7 K    服务器会将超过指定时间的session对象
   删除(在指定的时间内，该session对象没有
   使用)。
    方式一：
     session.setMaxInactiveInterval(
% b* \$ _3 ]2 q    int seconds);
( }1 |  f& d" G, T. L    方式二：
: j9 [9 y, F' t: u     服务器有一个缺省的超时限制，可以
    通过相应的配置文件来重新设置。
  O8 n" z& a- L0 ~2 A9 b. T7 x% U! B     比如可以修改tomcat的web.xml(
: i/ \& [+ M5 a+ r     tomcat_home/conf下面)。
     <session-config>
4 ^7 r0 A  H3 [1 n/ ~: h3 g          <session-timeout>30</session-timeout>
* a- U+ V! v; G* I. Q0 D  g       </session-config>
, k+ `7 n2 \4 a6 n5 j    另外，也可以只修改某个应用的web.xml。
% K% p* I" O1 x% c/ X; g2 s  e,删除session
   session.invalidate();
   
; ?7 T2 Y  a: S: R 案例:
  session验证
# k) T9 w4 Q  |5 _4 s$ M  step1 在登录成功之后，在session上绑订一些数据。
比如:
  session.setAttribute("user",user);
  step2 在访问需要保护的页面或者资源时，执行
  Object obj = session.getAttribute("user")；
  如果obj为null,说明没有登录，一般重定向到
  登录页面。
& H+ j! `$ A( |) f6 `

wudizxt

不错不错不错

welcome123

以前不太理解，现在看了后，明白了很多

woniu

这个项目太棒勒！下下来学习下！

java宫城大师

6 C# ?" u! r% l# _2 X% M学习一下。谢谢

发光的影子

看了看  学习学习  哈哈哈哈