java学习之Cookie与Session
0x00前言
1.会话:一次会话中包含了多次请求和响应
2.功能:一次会话的范围内的多次请求间,共享数据
3.方式:
(1)客户端会话技术:cookie
(2)服务端会话技术:Session
0x01Cookie技术
0x1基础方法
response.addCookie(cookie);向客户端发送Cookie
String name = c.getName();获取客户端发来的Cookie的键值对
String value = c.getValue();
Cookie[] cookies = request.getCookies();客户端访问的Cookie提取
cookie.setMaxAge(120);//把Cookie持久化到硬盘存货时间为120秒后自动删除
setMaxage(int i)
正数:将Cookie数据写到硬盘的文件中。持久化存储。并指定cookie存活时间,时间到后,cookie文件自动失效
负数:默认值
零:删除cookie信息
cookie.setPath("/"); //设置共享
尝试的代码
@WebServlet(name = "ServletCookie1", value = "/ServletCookie1")
public class ServletCookie1 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doPost(request,response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//创建cookie对象
Cookie cookie = new Cookie("msg", "hellow");
cookie.setMaxAge(120);
cookie.setPath("/"); //设置共享
response.addCookie(cookie);
}
}
获取Cookie代码
@WebServlet(name = "ServletCookie2", value = "/ServletCookie2")
public class ServletCookie2 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doPost(request,response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
Cookie[] cookies = request.getCookies();
if (cookies!=null){
for (Cookie c:cookies){
String name = c.getName();
String value = c.getValue();
System.out.println(name+":"+value);
}
}
}
}
Cookie的特点和作用
1.特点:Cookie存在客户端浏览器
浏览器对于单个Cookie的大小有限制(4kb)已经对同一个域名下面的总Cookie有限制(20个)
2.作用:Cookie一般用于存储少量的敏感数据
在不登录的情况下,完成服务器对客户端身份的识别
基于时间的Cookie判断
@WebServlet(name = "ServletCookie3", value = "/ServletCookie3")
public class ServletCookie3 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
this.doPost(request,response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
Cookie[] cookies = request.getCookies();
ServletContext servletContext = this.getServletContext();
response.setContentType("text/html;charset=utf-8");
if (cookies!=null){
for (Cookie cookie:cookies){
String name = cookie.getName();
if ("lasttime".equals(name)){
String value = cookie.getValue();
Date date = new Date();
cookie.setMaxAge(60*60*24*30);
SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy年MM月dd日 HH:mm:ss");
String format = simpleDateFormat.format(date);
String encode = URLEncoder.encode(format, "utf-8");
cookie.setValue(encode);
response.addCookie(cookie);
String value1 = cookie.getValue();
response.getWriter().write("欢迎回来");
break;
}
}
}
if (cookies==null|| equals(cookies[0].getName()!="lasttime")){
Date date = new Date();
SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy年MM月dd日 HH:mm:ss");
String format = simpleDateFormat.format(date);
String encode = URLEncoder.encode(format, "utf-8");
Cookie cookie = new Cookie("lasttime",encode);
cookie.setMaxAge(60*60*24*30);
response.addCookie(cookie);
response.getWriter().write("欢迎您第一次访问");}
}
}
0x02Session技术
1.概念:服务器端会话技术,在一次会话间共享数据,将数据保存在服务器端对象中.HttpSession
2.Session是依赖于Cookie的
3:。Session方法
request.getSession() :获取session对象
session方法:
Object getAttribute(String name)
void setAttribute(String name, Object value)
void removeAttribute(String name)
细节:
当客户端关闭以后,服务器关闭,两次获取的Seesion是不同的。
原因:在第一次获取session的时候,服务器会自动在内存中创建一个session对象,并把session的id即JSESSIONID通过cookie的形式返回给客户端
客户端在后续访问的时候,都会带着该cookie即JSESSIONID,来访问服务端,服务端根据该id找到对应的session对象,以此来保证一次会话内的多次请求找的都是同一个session
如果客户端关闭的话代表着会话结束了,cookie就不会再携带JESSIONID
HttpSession session = request.getSession();
System.out.println(session);
Cookie cookie = new Cookie("JSEESSIONID",session.getId());
cookie.setMaxAge(60*60);
response.addCookie(cookie);
可以通过在这种给Cookie设置值和延长Cookie的时间去达到这个效果。
客户端不关闭,服务器关闭,两次获取的Seesion是不是一个值
默认的时候不是一个值,但是Tomact会实现Session的钝化和活化,就是序列化和反序列化
如果服务端重启后客户端没关如果Session发生改变的化会导致数据丢失,所有就会出现钝化和活化
钝化:把Session序列化到硬盘上,服务器启动以后将Session文件转化成session对象
0x03总结
Cookied的设置会造成XSS攻击,所以出现了防御机制HttpOnly标志(可选),客户端脚本将无法访问cookie(如果浏览器支持该标志的话)。因此即使客户端存在跨站点脚本(XSS)漏洞,浏览器也不会将Cookie透露给第三方。Cookie和Session后面还会设计到xss和csrf漏洞的利用,还有Cookie注入。
java学习之Cookie与Session的更多相关文章
- 第74节:Java中的Cookie和Session
第74节:第74节:Java中的Cookie和Session ServletContext: 什么是ServletContext,有什么用哦,怎么用呢? 启动服务器后,会给每个应用程序创建一个Serv ...
- Java Web之Cookie、Session
讲Cookie和Seesion之前,先讲一下HTTP连接其实是无序的,服务器不知道是谁在访问它.现在我们来实现一个简单的邮箱功能. 要求: 1.登录页面登录之后看到收件箱和欢迎我 2.点击收件箱看到几 ...
- node学习之cookie和session
c什么是cookie Cookie设计的初衷是 维持浏览器和服务端的状态.http是无状态的,服务端不能跟踪客户端的状态. 浏览器第一次向服务器发送请求,服务器会返回一个cookie给客户端浏览器,浏 ...
- PHP学习10——Cookie和Session技术
主要内容: Cookie技术 创建cookie 查看cookie 读取cookie 用cookie记录访问时间和次数 删除cookie cookie的生命周期 Session技术 session工作原 ...
- java基础之----cookie,session,jwt
概要 web中为什么要引入cookie.session机制,为了验证用户的身份,验证用户的身份是为了系统的安全,那如果是系统和系统之间的API调用怎么办呢?因为系统之间调用往往是没有用户系统的(用户系 ...
- Django学习之Cookie和Session
一.Cookie 1.Cookie的由来 2.什么是Cookie 3.Cookie的原理 4.查看Cookie 二.Django中操作Cookie 1.获取Cookie 2.设置Cookie 3.删除 ...
- Java开发系列-Cookie与Session会话技术
概述 会话技术:当用户打开浏览器的时候,访问不同的资源,直到用户将浏览器关闭,可以认为这是一次会话.会话技术产生是由于Http请求是一个无状态的协议,它不会记录上次访问的内容,用户在访过程中难免产生一 ...
- nodeJs学习-08 cookie、session
http-无状态的:两次访问之间,无区别,cookie可解决 cookie:在浏览器保存一些数据,每次请求都会带过来: 弊端:可以查看修改,并不安全.大小有限(4K) 读取--cookie-parse ...
- Django 学习之cookie与session
一.cookie和session的介绍 cookie不属于http协议范围,由于http协议无法保持状态,但实际情况,我们却又需要“保持状态”,因此cookie就是在这样一个场景下诞生. cookie ...
随机推荐
- 【JDBC】学习路径1-JDBC背景知识
学习完本系列JDBC课程后,你就可以愉快使用Java操作我们的MySQL数据库了. 各种数据分析都不在话下了. 第一章:废话 JDBC编程,就是写Java的时候,调用了数据库. Java Databa ...
- Java-随机数据生成器(造数据)
概述 简单易用的随机数据生成器.一般用于开发和测试阶段的数据填充.模拟.仿真研究.演示等场景.可以集成到各种类型的java项目中使用. 优点 非常轻量级(不到1M),容易集成,无需过多第三方依赖 简单 ...
- 7个自定义定时任务并发送消息至邮箱或企业微信案例(crontab和at)
前言 更好熟悉掌握at.crontab定时自定义任务用法. 实验at.crontab定时自定义任务运用场景案例. 作业.笔记需要. 定时计划任务相关命令及配置文件简要说明 at 工具 由包 at 提供 ...
- Java开发学习(二十九)----Maven依赖传递、可选依赖、排除依赖解析
现在的项目一般是拆分成一个个独立的模块,当在其他项目中想要使用独立出来的这些模块,只需要在其pom.xml使用<dependency>标签来进行jar包的引入即可. <depende ...
- docker学习笔记-容器相关命令
新建并启动容器 docker pull centos (先下载镜像,如果没有直接使用docker run 命令会根据本地情况进行下载) # docker run [可选参数] image # 参数说明 ...
- kubectl top命令
kubectl top命令可显⽰节点和Pod对象的资源使⽤信息,它依赖于集群中的资源指标API来收集各项指标数据.它包含有node和pod两个⼦命令,可分别⽤于显⽰Node对象和Pod对象的相关资源占 ...
- 使用Elasticsearch中的copy_to来提高搜索效率
在今天的这个教程中,我们来着重讲解一下如何使用Elasticsearch中的copy来提高搜索的效率.比如在我们的搜索中,经常我们会遇到如下的文档: { "user" : &quo ...
- 域名服务DNSmasq搭建
假设该服务端主机ip是:192.168.80.100 服务端安装(yum方式) yum install dnsmasq -y # 配置系统文件 # cp /etc/resolv.conf /etc/r ...
- Logstash:使用 Logstash 导入 CSV 文件示例
转载自:https://elasticstack.blog.csdn.net/article/details/114374804 在今天的文章中,我将展示如何使用 file input 结合 mult ...
- Jenkins 中使用 Git Parameter 插件动态获取 Git 的分支