开启 J2EE（五）— Servlet之状态管理

HTTP无状态协议

首先我们要知道：

HTTP协议是无状态协议。

我们知道HTTP协议就是server通过Request从浏览器接收和Response向浏览器输出的这么一个过程（浏览器和server的交互过程）。

所谓无状态也就是完毕一个过程后（client和server
就断开了），下一个过程假设须要前面的信息，它还须要又一次进行一次，server不能记住上次的请求。

这样可能就是在频繁进行同样的请求传送时，数据量增大，效率减少。所以，假设在server不须要先前信息时它的应答就较快。

那么，怎样让server知道不同的请求是否来自同一个client。就状态管理问题出现了Cookie和Session。

Cookie

Cookie保存在client，有两种实现方式。

方式一

　将Cookie保存到浏览器内存中

　1
保存Cookie。

写到client（addCookie()）

public class SetCookie extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		Cookie c1 = new Cookie("password","123");
		response.addCookie(c1);
	}
}

　Cookie以键值对的形式进行保存。

　2
读取Cookie（通过Http协议传过去的）

public class ShowCookie extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		Cookie[] Cookies = request.getCookies();
		for(int i=0; i<Cookies[i];i++){
			Cookie c = Cookies[i];
			reponse.getWriter().Println(c.getName() + "," + c.getValue());
		}
	}
}

此方式，Cookie仅仅能在当前浏览器窗体和子窗体中有效。重开浏览器无效。所以有一定的限制。

方式二

　将Cookie保存到文本文件

　文件怎样生成的，通过限制Cookie的生命期。然后在写到client，就能够生成文本文件了。

　例如以下例。拿到clientIP的样例：

　1
保存Cookie。写到client文本文件

public class SetCookie extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

<span style="font-family:SimSun;">                //<span lang="zh-CN" style="font-family:SimSun;">获取</span><span lang="en-US" style="font-family:Calibri;">IP</span><span lang="zh-CN" style="font-family:SimSun;">地址</span></span>
		Cookie c2 = new Cookie("client_ip",request.getRemoteAddr());

		//设置Cookie的生命周期为1小时，单位秒
 		c2.setMaxAge(60*60);
 		response.addCookie(c2);

		response.getWriter().println("SetCookie OK");
	}
}

　　　2 读取Cookie。同方式一，略。

Cookie说明：

上面两种方式都是通过Servlet创建一个 Cookie对象，存储键-值对。

1、通过 response的 addCookie方法将该 Cookie信息加入到对应信息中。

2、再通过request.getCookies()方法获取到Cookie信息。

3、总的来说cookie机制採用的是在client保持状态的方案。

它是在client的会话状态的存储机制，他须要用户打开client的cookie支持。

4、不足：因为Cookie是保存在client的，相对存在较大的安全隐患。且一般浏览器对 Cookie的数目及数据大小有严格的限制。所以对一些小数量，安全性的信息，普通情况下通过Session存储。

Session

Session保存在服务端。

因为Session的是将会话保存在服务端。关闭浏览器（或新开）就没了。可是这么多的用户Session，怎样区分？这就须要一个SessionID。每个SessionID都指向了唯一的一个用户会话。

可是client怎样知道SessionID呢，方式有两种。

方式一

在Cookie中保存SessionID

watermark/2/text/aHR0cDovL2Jsb2cuY3Nkbi5uZXQvYWtremhqag==/font/5a6L5L2T/fontsize/400/fill/I0JBQkFCMA==/dissolve/70/gravity/SouthEast" alt="">

public void doGet(HttpServletRequest request, HttpServletResponse response)
        throws ServletException, IOException { 

    //获得 HttpSession对象
    HttpSession session = request.getSession();
    //设置 Session对象的最长不活动间隔
    session.setMaxInactiveInterval(30); 

    //获取 Session中的数据
    List list = (List)session.getAttribute("list");
    if (list == null) {
        list = new ArrayList();
        list.add("hey");
        //向 Session中加入数据
        session.setAttribute("list", list);
    }
} 

方式二

假设禁用了Cookie？通过URL重写，SessionId能够保存在URL后面

URL重写：

public class UrlRewriterSession extends HttpServlet {

	public void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		HttpSession session = request.getSession(true);
		response.getWriter().println("<a href= '" + response.encodeURL(request.getRequestURL().toString()) + "'>UrlRewrite</a>");
	}
}

不论client是否禁用Cookie。

假设想安全使用Session。仅仅能使用URL重写，但对应的会添加编程负担，所以有时站点要求client打开Cookie。

总结

　　

　　相比Cookie，Session事实上在之前ASP.net中已经用的非常多了。当时真是认为真好用。把值放到Session中。什么时候用直接取，不用再查数据库了，太方便了，以至于快到了滥用的趋势。然而过度使用session将会导致代码不可读并且不好维护，并且Session的默认失效期是30分钟。假设在Session中放入了大的对象，server的压力可想而知。

所以Session的使用也须要有度。