JSP 状态管理 -- Session 和 Cookie

Http 协议的无状态性

无状态是指，当浏览器发送请求给服务器的时候，服务器响应客户端请求。但是同一个浏览器再次发送请求给服务器的时候，服务器并不知道它就是刚才那个浏览器

session

• session表示客户端与服务器的一次对话
• Web中的session指的是用户在浏览某个网站时，从进入网站到浏览器关闭所经过的这段时间，也就是用户浏览这个网站所花费的时间
• 从上述定义中可以看到，session实际上是一个特定的时间概念

在服务器的内存中保存着不同用户的session，也就是说每一个用户对应着一个session，不同的用户对应着不同的session

• session 对象是一个JSP内置对象
• session对象在第一个JSP页面被加载时自动创建，用来完成会话期管理
• 从一个客户打开浏览器并连接到服务器开始，到客户关闭浏览器离开这个服务器结束，被称为一个会话
• 当一个客户访问一个服务器时，可能会在服务器的几个页面之间切换，服务器应当通过某种办法这是一个客户，就需要session对象
• session对象是HttpSession类的实例

session 对象常用方法：

• long getCreationTime()： 返回 session 创建时间
• public String getId()： 返回 session 创建时，JSP 引擎为它设的唯一ID号
• public Object setAttribute( String name, Object value)： 使用指定名称将对象绑定到此会话
• public Object getAttribute( String name )： 返回与此会话中的指定名称绑定在一起的对象，如果没有对象绑定在该名称下，则返回 null
• String[] getValueNames()： 返回一个包含次此 session 中所有可用属性的数组
• int getMaxInactiveInterval()： 返回两次请求间隔多长时间此 session 被取消（单位：秒）

<%@ page language="java" import="java.text.*, java.util.*" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>
<%
    SimpleDateFormat sdf = new SimpleDateFormat("yyyy年MM月dd日 hh:mm:ss");
    Date d = new Date(session.getCreationTime());
    session.setAttribute("username", "Kobe");
%>

session 的创建时间：<%=sdf.format(d) %><br> <%--session.getCreationTime() 返回的是一个毫秒数 --%>
<%--new Date(session.getCreationTime()) Thu Mar 08 09:57:56 CST 2018 --%>
session ID: <%=session.getId() %><br>
获取用户名：<%=session.getAttribute("username") %>
</body>
</html>

页面运行结果：

现在原来的 session.jsp 代码中添加一个超链接，用来体现从进入网站到浏览器关闭期间，是同一次会话，注意观察 sessionID 是否发生改变，如果发生改变则证明不是同一次会话，如果不变则证明是同一次会话

<a href="session2.jsp" target="_blank">跳转到 session2.jsp 页面</a>

同时，创建一个新的页面 session2.jsp，查看 sessionID 以及能否拿到同一次会话中服务器保存的username 属性

<%@ page language="java" import="java.text.*, java.util.*" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>

session ID: <%=session.getId() %><br>
获取用户名：<%=session.getAttribute("username") %>
</body>
</html>

注意查看id 和 username

现在演示下 session.getValueNames() 的用法

在session.jsp 中另外添加两个属性，password 和 age

<%
    SimpleDateFormat sdf = new SimpleDateFormat("yyyy年MM月dd日 hh:mm:ss");
    Date d = new Date(session.getCreationTime());
    session.setAttribute("username", "Kobe");
    // 新增加两个属性 password 和 age
    session.setAttribute("password", "123456");
    session.setAttribute("age", 28);
%>

在session2.jsp 中来查看有哪些可用的属性

session ID: <%=session.getId() %><br>
session 中保存的用户名：<%=session.getAttribute("username") %><br>
session 中保存的属性有：
<%
    String[] names = session.getValueNames();
    for (String name:names){
        out.println(name + "&nbsp;&nbsp;");
    }
%>

页面结果：

再来看下如何设置session的过期时间，session.jsp

<%
    SimpleDateFormat sdf = new SimpleDateFormat("yyyy年MM月dd日 hh:mm:ss");
    Date d = new Date(session.getCreationTime());
    session.setAttribute("username", "Kobe");
    // 新增加两个属性 password 和 age
    session.setAttribute("password", "123456");
    session.setAttribute("age", 28);

    // session.setMaxInactiveInterval() 设置 session的过期时间，单位秒
    session.setMaxInactiveInterval(3);
%>

再次点击超链接时，我们发现sessionID改变了，属性值为null，属性没有，说明这是一个新的会话。也就是说间隔3秒以后，原来的session过期了

session 生命周期

创建 ---> 活动 ---> 销毁

1、创建

2、活动（新的 session启动并不意味着旧的session已经关闭）

3、销毁

Tomcat 默认 session超时时间为 30分钟，设置 session 超时有两种方式：

1、session.setIntactiveInterval(时间); // 单位：秒

2、在 web.xml 配置

<session-config>
    <session-timeout> 10 </session-timeout>
</session-config> // 单位：分钟

Cookie

中文名称为“小甜饼”，是Web服务器保存在 客户端 的一系列文本信息。Cookie 是键值对形式存储的少量信息

作用：

平时上网时都是使用 无状态的HTTP协议输出数据，这意味着客户端与服务端在数据传送完成后就会中断连接。这时我们就需要一个一直保持会话连接的机制，在session出现之前，cookie就完全充当了这个角色。

• 对特定对象的追踪
• 保存用户网页浏览记录与习惯
• 简化登录

安全风险：容易泄露用户信息

典型应用一：判定注册用户是否已经登录网站

典型应用二：“购物车”的处理

原理：

客户端请求服务器时，如果服务器需要记录该用户的状态，就使用response对象向客户端发送一个cookie，客户端浏览器会把cookie保存起来。当浏览器再请求服务器时，浏览器把请求的网址连同该cookie一同提交给服务器，服务器通过检查该cookie来获取用户状态

Jsp中创建与使用Cookie

创建Cookie对象

Cookie newCookie = new Cookie(String key, Object value);

// 例如
Cookie c = new Cookie("username", "peter");
c.setMaxAge(24*60*60);  // 设置过期时间为1天，单位是秒
response.addCookie(c);     // 保存 cookie到客户端

写入Cookie对象

response.addCookie(newCookie);

读取Cookie对象

// 使用 Jsp 读取cookie，需要通过调用 HttpServletRequest 的 getCookies() 方法来创建一个 javax.servlet.http.Cookie 对象的数组。然后循环遍历数组，并使用 getName() 和 getValue() 方法来访问每个cookie和关联的值

Cookie[] cookies = request.getCookies();

常用方法

void setMaxAge(int expiry)       ---> 设置 cookie 的有效期，以秒为单位

void setValue(String value)       ---> 在 cookie 创建后，对 cookie 进行赋值

String getName()                      ---> 获取 cookie 的名称

String getValue()                       ---> 获取 cookie 的值

int getMaxAge()                        ---> 获取 cookie 的有效时间，以秒为单位

示例：新建一个 form.jsp 提交到 setCookies.jsp 页面，在该页面中保存 cookie，然后在 getCookies.jsp 页面读取 cookie

form.jsp

<%@ page language="java" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>
<h1>用户登录表单</h1>
<hr>

<form action="setCookies.jsp" method="post">
用户名：<input type="text" name="username" value=""/>
密码：<input type="password" name="password" value=""/>
<input type="submit" value="提交"/>

</form>
</body>
</html>

setCookies.jsp   (这里对保存进cookie中的内容进行编码，否则，读取中文cookie会报错）

<%@ page language="java" import="java.net.*" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>

<h1>接收表单并设置cookies</h1>
<hr>
<%
    request.setCharacterEncoding("utf-8");
    // 从request请求中获取用户名和密码
    String username = URLEncoder.encode(request.getParameter("username"), "utf-8");
    String password = URLEncoder.encode(request.getParameter("password"), "utf-8");

    // 创建cookie对象
    Cookie usernameCookie = new Cookie("username", username);
    Cookie passwordCookie = new Cookie("password", password);

    // 设置Cookie保存时间
    usernameCookie.setMaxAge(24*60*60);
    passwordCookie.setMaxAge(24*60*60);

    // 保存cookie
    response.addCookie(usernameCookie);
    response.addCookie(passwordCookie);
%>

<a href="getCookies.jsp">查看Cookie</a>

</body>
</html>

getCookies.jsp （要对cookie进行解码操作）

<%@ page language="java" import="java.net.*" contentType="text/html; charset=utf-8"
    pageEncoding="utf-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<title>Insert title here</title>
</head>
<body>

<h1>获取cookies</h1>
<hr>
<%
    String username = "";
    String password = "";

    // 读取 cookies
    Cookie[] cookies = request.getCookies();
    if (cookies != null && cookies.length > 0){
        for(Cookie c:cookies){
            if("username".equals(c.getName())){
                username = URLDecoder.decode(c.getValue(), "utf-8");
            }
            if("password".equals(c.getName())){
                password = URLDecoder.decode(c.getValue(), "utf-8");
            }
        }
    }
%>

用户名：<b><%=username %></b><br><br>
密码：<b><%=password %></b><br><br>

</body>
</html>

运行效果：

Session 与 Cookie 对比

session	cookie
在 服务器 端保存用户信息	在 客户端 保存用户信息
session 中保存的是 Object 类型	cookie 中保存的是 String 类型
随会话的结束而将其存储的数据 销毁	cookie 可以 长期 保存在客户端
保存 重要 信息	保存 不重要 的用户信息