0x00前言

1.会话:一次会话中包含了多次请求和响应

2.功能:一次会话的范围内的多次请求间,共享数据

3.方式:

(1)客户端会话技术:cookie

(2)服务端会话技术:Session

0x01Cookie技术

0x1基础方法

response.addCookie(cookie);向客户端发送Cookie

String name = c.getName();获取客户端发来的Cookie的键值对

String value = c.getValue();

Cookie[] cookies = request.getCookies();客户端访问的Cookie提取

cookie.setMaxAge(120);//把Cookie持久化到硬盘存货时间为120秒后自动删除

setMaxage(int i)

正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效

负数:默认值

零:删除cookie信息

cookie.setPath("/");  //设置共享

尝试的代码

@WebServlet(name = "ServletCookie1", value = "/ServletCookie1")

public class ServletCookie1 extends HttpServlet {

    @Override

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        this.doPost(request,response);

    }

    @Override

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        //创建cookie对象

        Cookie cookie = new Cookie("msg", "hellow");

        cookie.setMaxAge(120);

        cookie.setPath("/");  //设置共享

        response.addCookie(cookie);

    }

}

获取Cookie代码

@WebServlet(name = "ServletCookie2", value = "/ServletCookie2")

public class ServletCookie2 extends HttpServlet {

    @Override

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        this.doPost(request,response);

    }

    @Override

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        Cookie[] cookies = request.getCookies();

        if (cookies!=null){

            for (Cookie c:cookies){

                String name = c.getName();

                String value = c.getValue();

                System.out.println(name+":"+value);

            }

        }

    }

}

Cookie的特点和作用

1.特点:Cookie存在客户端浏览器

浏览器对于单个Cookie的大小有限制(4kb)已经对同一个域名下面的总Cookie有限制(20个)

2.作用:Cookie一般用于存储少量的敏感数据

在不登录的情况下,完成服务器对客户端身份的识别

基于时间的Cookie判断

@WebServlet(name = "ServletCookie3", value = "/ServletCookie3")

public class ServletCookie3 extends HttpServlet {

    @Override

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        this.doPost(request,response);

    }

    @Override

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {

        Cookie[] cookies = request.getCookies();

        ServletContext servletContext = this.getServletContext();

        response.setContentType("text/html;charset=utf-8");

        if (cookies!=null){

            for (Cookie cookie:cookies){

                String name = cookie.getName();

                if ("lasttime".equals(name)){

                    String value = cookie.getValue();

                    Date date = new Date();

                    cookie.setMaxAge(60*60*24*30);

                    SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy年MM月dd日 HH:mm:ss");

                    String format = simpleDateFormat.format(date);

                    String encode = URLEncoder.encode(format, "utf-8");

                    cookie.setValue(encode);

                    response.addCookie(cookie);

                    String value1 = cookie.getValue();

                    response.getWriter().write("欢迎回来");

                    break;

                }

            }

        }

        if (cookies==null|| equals(cookies[0].getName()!="lasttime")){

            Date date = new Date();

            SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy年MM月dd日 HH:mm:ss");

            String format = simpleDateFormat.format(date);

            String encode = URLEncoder.encode(format, "utf-8");

            Cookie cookie = new Cookie("lasttime",encode);

            cookie.setMaxAge(60*60*24*30);

            response.addCookie(cookie);

            response.getWriter().write("欢迎您第一次访问");}

    }

}

0x02Session技术

1.概念:服务器端会话技术,在一次会话间共享数据,将数据保存在服务器端对象中.HttpSession

2.Session是依赖于Cookie的

3:。Session方法

 request.getSession()     :获取session对象

 session方法:

 Object getAttribute(String name)

		void setAttribute(String name, Object value)

		void removeAttribute(String name)

细节:

当客户端关闭以后,服务器关闭,两次获取的Seesion是不同的。

原因:在第一次获取session的时候,服务器会自动在内存中创建一个session对象,并把session的id即JSESSIONID通过cookie的形式返回给客户端

客户端在后续访问的时候,都会带着该cookie即JSESSIONID,来访问服务端,服务端根据该id找到对应的session对象,以此来保证一次会话内的多次请求找的都是同一个session

如果客户端关闭的话代表着会话结束了,cookie就不会再携带JESSIONID

 HttpSession session = request.getSession();

        System.out.println(session);

        Cookie cookie = new Cookie("JSEESSIONID",session.getId());

        cookie.setMaxAge(60*60);

        response.addCookie(cookie);

可以通过在这种给Cookie设置值和延长Cookie的时间去达到这个效果。

客户端不关闭,服务器关闭,两次获取的Seesion是不是一个值

默认的时候不是一个值,但是Tomact会实现Session的钝化和活化,就是序列化和反序列化

如果服务端重启后客户端没关如果Session发生改变的化会导致数据丢失,所有就会出现钝化和活化

钝化:把Session序列化到硬盘上,服务器启动以后将Session文件转化成session对象

0x03总结

Cookied的设置会造成XSS攻击,所以出现了防御机制HttpOnly标志(可选),客户端脚本将无法访问cookie(如果浏览器支持该标志的话)。因此即使客户端存在跨站点脚本(XSS)漏洞,浏览器也不会将Cookie透露给第三方。Cookie和Session后面还会设计到xss和csrf漏洞的利用,还有Cookie注入。

java学习之Cookie与Session的更多相关文章

  1. 第74节:Java中的Cookie和Session

    第74节:第74节:Java中的Cookie和Session ServletContext: 什么是ServletContext,有什么用哦,怎么用呢? 启动服务器后,会给每个应用程序创建一个Serv ...

  2. Java Web之Cookie、Session

    讲Cookie和Seesion之前,先讲一下HTTP连接其实是无序的,服务器不知道是谁在访问它.现在我们来实现一个简单的邮箱功能. 要求: 1.登录页面登录之后看到收件箱和欢迎我 2.点击收件箱看到几 ...

  3. node学习之cookie和session

    c什么是cookie Cookie设计的初衷是 维持浏览器和服务端的状态.http是无状态的,服务端不能跟踪客户端的状态. 浏览器第一次向服务器发送请求,服务器会返回一个cookie给客户端浏览器,浏 ...

  4. PHP学习10——Cookie和Session技术

    主要内容: Cookie技术 创建cookie 查看cookie 读取cookie 用cookie记录访问时间和次数 删除cookie cookie的生命周期 Session技术 session工作原 ...

  5. java基础之----cookie,session,jwt

    概要 web中为什么要引入cookie.session机制,为了验证用户的身份,验证用户的身份是为了系统的安全,那如果是系统和系统之间的API调用怎么办呢?因为系统之间调用往往是没有用户系统的(用户系 ...

  6. Django学习之Cookie和Session

    一.Cookie 1.Cookie的由来 2.什么是Cookie 3.Cookie的原理 4.查看Cookie 二.Django中操作Cookie 1.获取Cookie 2.设置Cookie 3.删除 ...

  7. Java开发系列-Cookie与Session会话技术

    概述 会话技术:当用户打开浏览器的时候,访问不同的资源,直到用户将浏览器关闭,可以认为这是一次会话.会话技术产生是由于Http请求是一个无状态的协议,它不会记录上次访问的内容,用户在访过程中难免产生一 ...

  8. nodeJs学习-08 cookie、session

    http-无状态的:两次访问之间,无区别,cookie可解决 cookie:在浏览器保存一些数据,每次请求都会带过来: 弊端:可以查看修改,并不安全.大小有限(4K) 读取--cookie-parse ...

  9. Django 学习之cookie与session

    一.cookie和session的介绍 cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生. cookie ...

随机推荐

  1. dotnet 设计规范 · 抽象类

    X 不要定义 public 或 protected internal 访问的构造函数.默认 C# 语言不提供抽象类的公开构造函数方法. 如果一个构造函数定义为公开,只有在开发者需要创建这个类的实例的时 ...

  2. API接口签名校验(C#版)

    我们在提供API服务的时候,为了防止数据传输过程被篡改,通常的做法是对传输的内容进行摘要签名,把签名串同参数一起请求API,API服务接收到请求后以同样的方式生成签名串,然后进行对比,如果签名串不一致 ...

  3. 全能成熟稳定开源分布式存储Ceph破冰之旅-上

    @ 目录 概述 定义 传统存储方式及问题 优势 生产遇到问题 架构 总体架构 组成部分 CRUSH算法 数据读写过程 CLUSTER MAP 部署 部署建议 部署版本 部署方式 Cephadm部署 前 ...

  4. k8s中几个基本概念的理解,pod,service,deployment,ingress的使用场景

    k8s 总体概览 前言 Pod 副本控制器(Replication Controller,RC) 副本集(Replica Set,RS) 部署(Deployment) 服务(Service) ingr ...

  5. Redis6.0.6的三大内存过期策略和八大淘汰策略

    一.前言 Redis在我们日常开发中是经常用到的,Redis也是功能非常强大,可以进行缓存,还会有一些排行榜.点赞.消息队列.购物车等等:当然还有分布式锁Redisson,我们使用肯定少不了集群!小编 ...

  6. 题解 P2471 【[SCOI2007]降雨量】

    原题传送门 前置芝士 离散化 ST表和RMQ问题 二分 正文 首先我们来分析一下题意. 题目会给出两个大小为 \(n\) 的数组,\(y\) 和 \(r\) ,其中 \(y_i\) 表示第 \(i\) ...

  7. Traefik 2.0 实现自动化 HTTPS

    文章转载自:https://mp.weixin.qq.com/s?__biz=MzU4MjQ0MTU4Ng==&mid=2247484457&idx=1&sn=35112e98 ...

  8. Pixar 故事公式

    文章转载自:https://mp.weixin.qq.com/s/wMfFVh9tAM5Qo4ED658yUg

  9. ConfigMap使用说明

    ConfigMap概述 ConfigMap供容器使用的典型用法如下. (1)生成为容器内的环境变量. (2)设置容器启动命令的启动参数(需设置为环境变量). (3)以Volume的形式挂载为容器内部的 ...

  10. Prometheus监控Nginx

    转载自:https://www.cnblogs.com/you-men/p/13173245.html CentOS7.3 prometheus-2.2.1.linux-amd64.tar.gz ng ...