Cookie及Session

发表于 | 更新于: | 分类于 | 阅读量
字数统计: 3,358 | 阅读时长 ≈ 13

用户访问服务器,如果要区分不同用户的操作,行为等,比如在登陆是勾选记住我,下次就可以不需要登陆直接访问。区分不同的用户,现在客户端用到最多的就是Cookies和Session.
Cookie和Session同样可以用来存储用户标识,但他们的存储地点,生存周期,等有很大的区别,常将两者连用。
这里会把基础的特征详细的讲一下,扩展讲一下他们的安全性。为下一篇的单点登陆做铺垫。

由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。这就是Cookie的工作原理。

Cookie是服务器发送给浏览器的特殊信息(需要浏览器支持Cookie),以文本方式存储在本地,一般是存储在[系统盘]:\Documents and Settings[用户名]\Cookies目录.

当浏览器向服务器发送请求时,会在请求头中携带Cookie信息。服务器接收到请求后对Cookie中的信息进行识别,操作。最后和返回信息一起返回来。

Cookie的不可跨域性

每个网站都会颁发自己的Cookie,而每个网站只希望浏览器请求的时候带上的是自己颁发的Cookie.Cookie规范中的不可跨域性就保证了每个网站只能接受自己颁发的Cookies,Google接收不到alibaba的Cookie,Alibaba接收不到baidu的Cookie。

编码规则

如果是Unicode的字符,需要指定编码,一般使用UTF-8,如果是二进制数据,应该编码应指定为base64,英文默认使用两字节的ASCII编码

Cookie的属性

  • String name: 该Cookie的名称。Cookie一旦创建,名称便不可更改.
  • Object value:该Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。
  • int maxAge:该Cookie失效的时间,单位秒。如果为正数,则该Cookie在>maxAge秒之后失效。如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。如果为0,表示删除该Cookie。默认为–1。(这里有很多坑)
  • boolean secure:该Cookie是否仅被使用安全协议传输。安全协议。安全协议有HTTPS,SSL等,在网络上传输数据之前先将数据加密。默认为false。
  • String path:该Cookie的使用路径。如果设置为“/sessionWeb/”,则只有contextPath为“/sessionWeb”的程序可以访问该Cookie。如果设置为“/”,则本域名下contextPath都可以访问该Cookie。注意最后一个字符必须为“/”。
  • String domain:可以访问该Cookie的域名。如果设置为“.google.com”,则所有以“google.com”结尾的域名都可以访问该Cookie。注意第一个字符必须为“.”。
  • String comment:该Cookie的用处说明。浏览器显示Cookie信息的时候显示该说明。
  • int version:该Cookie使用的版本号。0表示遵循Netscape的Cookie规范,1表示遵循W3C的RFC 2109规范。

Cookie的有效期

Cookie的maxAge决定着Cookie的有效期,单位为秒(Second)。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。

  1. 如果为正数,则表示该Cookie会在maxAge秒之后自动失效,并会进行持久化,关闭浏览器仍在有效期内。还可以这样设置为永久有效。

    1
    2
    3
    Cookie cookie = new Cookie("username","bbdogUser1"); // 新建Cookie
    cookie.setMaxAge(Integer.MAX_VALUE); // 设置生命周期为MAX_VALUE
    response.addCookie(cookie); // 输出到客户端

  2. 如果maxAge为负数,则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效,关闭窗口后该Cookie即失效。maxAge为负数的Cookie,为临时性Cookie,不会被持久化,不会被写到Cookie文件中。Cookie信息保存在浏览器内存中,因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为–1。

  3. 如果maxAge为0,则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法,因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除:

    1
    2
    3
    Cookie cookie = new Cookie("username","bbdogUser1"); // 新建Cookie
    cookie.setMaxAge(0); // 设置生命周期为0,不能为负数
    response.addCookie(cookie); // 必须执行这一句

注意:从客户端读取Cookie时,包括maxAge在内的其他属性都是不可读的,也不会被提交。浏览器提交Cookie时只会提交name与value属性。maxAge属性只被浏览器用来判断Cookie是否过期。

Cookie的添加和删除

Cookie并不提供修改、删除操作。如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到response中覆盖原来的Cookie。如果要删除某个Cookie,只需要新建一个同名的Cookie,并将maxAge设置为0,并添加到response中覆盖原来的Cookie。注意是0而不是负数。负数代表其他的意义。读者可以通过上例的程序进行验证,设置不同的属性。

注意:修改、删除Cookie时,新建的Cookie除value、maxAge之外的所有属性,例如name、path、domain等,都要与原Cookie完全一样。否则,浏览器将视为两个不同的Cookie不予覆盖,导致修改、删除失败。

Cookie的域名

Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。隐私安全机制能够禁止网站非法获取其他网站的Cookie。

正常情况下,同一个一级域名下的两个二级域名如www.bbdog.com和images.bbdog.com也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有bbdog.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数,例如:

1
2
3
4
5
Cookie cookie = new Cookie("time","20000000"); // 新建Cookie
cookie.setDomain(".bbdog.com"); // 设置域名
cookie.setPath("/"); // 设置路径
cookie.setMaxAge(Integer.MAX_VALUE); // 设置有效期
response.addCookie(cookie); // 输出到客户端

读者可以修改本机C:\WINDOWS\system32\drivers\etc下的hosts文件来配置多个临时域名,然后使用setCookie.jsp程序来设置跨域名Cookie验证domain属性。

注意:domain参数必须以点(“.”)开始。另外,name相同但domain不同的两个Cookie是两个不同的Cookie。如果想要两个域名完全不同的网站共有Cookie,可以生成两个Cookie,domain属性分别为两个域名,输出到客户端。

Cookie的路径

Cookie的路径是值浏览器访问服务器资源的路径.

那么Cookie的path是干什么的呢?假设你的浏览器当前已经有了两个Cookie:

  1. Cookie1:name=id; value=itcast; path=/day07_03/;
  2. Cookie2:name=name; value=qdmmy6; path=/day07_03/servlet/。

当访问http://localhost/day07_03/时,请求头中会包含c1,而不会包含c2。

当访问http://localhost/day07_03/servlet/时,请求头中会包含c1和c2。

注意: 如果服务器相应的时候没有特意设置路径,则会默认返回。例如在请求http://localhost/day07_03/AServlet时,服务器响应了一个Cookie,那么这个Cookie的默认路径就是/day07_03/。

Cookie的安全性

HTTP协议不仅是无状态的,而且是不安全的。使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。使用HTTP协议传输很机密的内容是一种隐患。如果不希望Cookie在HTTP等非安全协议中传输,可以设置Cookie的secure属性为true。浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。下面的代码设置secure属性为true:

1
2
3
Cookie cookie = new Cookie("time", "20000000"); // 新建Cookie
cookie.setSecure(true); // 设置安全属性
response.addCookie(cookie); // 输出到客户端

提示:secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密、解密,以防泄密。

Session

Session可以理解为会话的意思,会话可以理解为客户端与服务器的信息交流.
Cookie是将客户信息储存在客户端本地,而Session则是将客户信息存储在服务器。通过Cookie识别了用户身份,再通过Cookie中记录的SessionId来获取用户的身份明细。
Session保存在服务器端,因为使用频繁,早期常将直接保存在内存中,但用户量过大时,存储压力增大,还有可能造成内存溢出。现在常将其保存在高读写的数据库中,如redis,并根据实际情况进行分布式处理。

Session生命周期

Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session,也可以使用request.getSession(true)强制生成Session。

Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。

Session的有效期

由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。

Session的超时时间为maxInactiveInterval属性,可以通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(longinterval)修改。

Session的超时时间也可以在web.xml中修改。另外,通过调用Session的invalidate()方法可以使Session失效。

Session的常用方法

Session中包括各种方法,使用起来要比Cookie方便得多。Session的常用方法如下所示。

  • void setAttribute(String attribute, Object value):设置Session属性。value参数可以为任何Java Object。通常为Java Bean。value信息不宜过大
  • String getAttribute(String attribute):返回Session属性
  • Enumeration getAttributeNames():返回Session中存在的属性名
  • void removeAttribute(String attribute):移除Session属性
  • String getId():返回Session的ID。该ID由服务器自动创建,不会重复
  • long getCreationTime():返回Session的创建日期。返回类型为long,常被转化为Date类型,例如:Date createTime = new Date(session.get >CreationTime())
  • long getLastAccessedTime():返回Session的最后活跃时间。返回类型为long
  • int getMaxInactiveInterval():返回Session的超时时间。单位为秒。超过该时间没有访问,服务器认为该Session失效
  • void setMaxInactiveInterval(int second):设置Session的超时时间。单位为秒。
  • void putValue(String attribute, Object value):不推荐的方法。已经被setAttribute(String attribute, Object Value)替代
  • Object getValue(String attribute):不被推荐的方法。已经被getAttribute(String attr)替代
  • boolean isNew():返回该Session是否是新创建的
  • void invalidate():使该Session失效

Session生存时间设置

Tomcat中设置的默认时间时20分钟,可以在web.xml中修改。单位为分钟

1
2
3
<session-config>
   <session-timeout>60</session-timeout>      <!-- 单位:分钟 -->
</session-config>

也可以通过setMaxInactiveInterval(int seconds)方法修改。单位为

session对浏览器的支持

支持cookie

因为sessionId记在cookie中,所以使用的时候相对简单。但是需要注意的是,新打开tab页签的时候,共用的当前浏览器窗口的session。但是新打开浏览器窗口的时候,就会新建session.

不支持Cookie

如果浏览器不支持cookie,就要使用其他方法来解决。常见的方法有URL重写,和页面重定向。
HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写。

1
<a href="<%=response.encodeURL("index.jsp?c=1&wd=Java") %>">Homepage</a>

该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。重写后的输出可能是这样的:

1
<a href="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=1&wd=Java">Homepage</a>

即在文件名的后面,在URL参数的前面添加了字符串“;jsessionid=XXX”。其中XXX为Session的id。分析一下可以知道,增添的jsessionid字符串既不会影响请求的文件名,也不会影响提交的地址栏参数。用户单击这个链接的时候会把Session的id通过URL提交到服务器上,服务器通过解析URL地址获得Session的id。
页面重定向可通过如下实现:

1
2
3
4
if(“administrator”.equals(userName)) {
    response.sendRedirect(response.encodeRedirectURL(“administrator.jsp”));
    return;
}

与encodeURL方法类似,他也会先进行cookie支持检测。

注意:TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。