javawebcookie是什麼意思（Java基礎一文搞懂Session和Cookie的用法及區別）

2023-09-11 01:12:22

1. Session、cookie是什麼

1.1 概念理解

要了解session和cookie是什麼，先要了解以下幾個概念。

1.1.1 無狀態的HTTP協議

協議：是指計算機通信網絡中兩臺計算機之間進行通信所必須共同遵守的規定或規則。

超文本傳輸協議(HTTP)：是一種通信協議，它允許將超文本標記語言(HTML)文檔從Web伺服器傳送到客戶端的瀏覽器。

HTTP協議是無狀態的協議。一旦數據交換完畢，客戶端與伺服器端的連接就會關閉，再次交換數據需要建立新的連接。這就意味著伺服器無法從連接上跟蹤會話。

1.1.2 會話（Session）跟蹤

會話：指用戶登錄網站後的一系列動作，比如瀏覽商品添加到購物車併購買。會話（Session）跟蹤是Web程序中常用的技術，用來跟蹤用戶的整個會話。常用的會話跟蹤技術是Session與Cookie。Session通過在伺服器端記錄信息確定用戶身份，Cookie通過在客戶端記錄信息確定用戶身份。

1.2 Cookie

由於HTTP是一種無狀態的協議，伺服器單從網絡連接上無從知道客戶身份。用戶A購買了一件商品放入購物車內，當再次購買商品時伺服器已經無法判斷該購買行為是屬於用戶A的會話還是用戶B的會話了。怎麼辦呢？就給客戶端們頒發一個通行證吧，每人一個，無論誰訪問都必須攜帶自己通行證。這樣伺服器就能從通行證上確認客戶身份了。這就是Cookie 的工作原理。

Cookie實際上是一小段的文本信息。客戶端請求伺服器，如果伺服器需要記錄該用戶狀態，就使用response向客戶端瀏覽器頒發一個Cookie。客戶端會把Cookie保存起來。

當瀏覽器再請求該網站時，瀏覽器把請求的網址連同該Cookie一同提交給伺服器。伺服器檢查該Cookie，以此來辨認用戶狀態。伺服器還可以根據需要修改Cookie的內容。

1.2.1 會話Cookie和持久Cookie 若不設置過期時間，則表示這個cookie的生命期為瀏覽器會話期間，關閉瀏覽器窗口，cookie就消失。這種生命期為瀏覽器會話期的cookie被稱為會話cookie。會話cookie一般不存儲在硬碟上而是保存在內存裡，當然這種行為並不是規範規定的。

若設置了過期時間，瀏覽器就會把cookie保存到硬碟上，關閉後再次打開瀏覽器，這些cookie仍然有效直到超過設定的過期時間。存儲在硬碟上的cookie可以在瀏覽器的不同進程間共享。這種稱為持久Cookie。

1.2.2 Cookie具有不可跨域名性

就是說，瀏覽器訪問百度不會帶上谷歌的cookie

1.3 Session

Session是另一種記錄客戶狀態的機制，不同的是Cookie保存在客戶端瀏覽器中，而Session保存在伺服器上。客戶端瀏覽器訪問伺服器的時候，伺服器把客戶端信息以某種形式記錄在伺服器上，這就是Session。客戶端瀏覽器再次訪問時只需要從該Session中查找該客戶的狀態就可以了。每個用戶訪問伺服器都會建立一個session並自動分配一個SessionId，用於標識用戶的唯一身份。

1.3.1 兩個問題

1）如何在每次請求時都把SessionId自動帶到伺服器呢？

那就是cookie了，如果你想為用戶建立一次會話，可以在用戶授權成功時返回一個唯一的cookie。當一個用戶再次發起請求時，瀏覽器會將用戶的SessionId自動附加在HTTP頭信息中（這是瀏覽器的自動功能，用戶不會察覺到，開發人員也不需操作），當伺服器處理完這個請求後，將結果返回給 SessionId 所對應的用戶。

2）儲存需要的信息。

伺服器通過SessionId作為key，讀寫對應的value，這就達到了保持會話信息的目的。

1.3.2 Session的創建

當程序需要為某個客戶端的請求創建一個session時，伺服器首先檢查這個客戶端的請求裡是否已包含了sessionId，如果已包含則說明以前已經為此客戶端創建過session，伺服器就按照sessionId把這個session檢索出來使用（檢索不到，會新建一個），如果客戶端請求不包含sessionId，則為此客戶端創建一個session並且生成一個與此session相關

聯的sessionId，sessionId的值是一個既不會重複，又不容易被找到規律以仿造的字符串，這個sessionId將被在本次響應中返回給客戶端保存。

1.3.3 禁用cookie

如果客戶端禁用了cookie，通常有兩種方法實現session而不依賴cookie。

1）URL重寫。就是把sessionId直接附加在URL路徑的後面。

2）表單隱藏域。伺服器會自動修改表單，添加一個隱藏欄位，以便在表單提交時能夠把sessionId傳回伺服器。

比如：

複製代碼

4、Session共享 對於多網站(同一父域不同子域)單伺服器，我們需要解決的就是來自不同網站之間SessionId的共享。由於域名不同(aaa.walking.com 和 bbb.walking.com)，而SessionId又分別儲存在各自的cookie中，因此伺服器會認為對於兩個子站的訪問，是來自不同的會話。解決的方法是通過修改cookies的域名為父域名達到cookie共享的目的，從而實現SessionId的共享（非伺服器集群session共享）。帶來的弊端就是，子站間的cookie信息也同時被共享了。

1.4 應用場景

登錄網站，今輸入用戶名密碼登錄了，第二天再打開很多情況下就直接打開了。這個時候用到的一個機制就是cookie。 session一個場景是購物車，添加了商品之後客戶端處可以知道添加了哪些商品，而伺服器端如何判別呢，所以也需要存儲一些信息就用到了session。

2. 怎麼操作Session

在Java Web開發中，Session為我們提供了很多方便，Session是由瀏覽器和伺服器之間維護的。在傳統的Java web開發，我們通過實現 javax.servlet.Servlet 接口或繼承 javax.servlet.http.HttpServlet 來實現客戶端和服務端以Http協議交互。

2.1 操作Session的API

對Session的操作如下：

@Overridepublic void service(Servletrequest servletRequest, ServletResponse servletResponse) throws ServletException, IOException { HttpServletRequest request = (HttpServletRequest) servletRequest; HttpSession session = request.getSession; session.setAttribute("userName","walking");//設置屬性 session.setMaxInactiveInterval(30*60);//過期時間 單位秒 session.getCreationTime;//獲取session的創建時間 session.getLastAccessedTime;//獲取上次與伺服器交互時間 String id = session.getId;//獲取sessionId int timeout = session.getMaxInactiveInterval;//獲取session過期時間 session.invalidate;//銷毀session}複製代碼

客戶端與服務端對用戶信息的維持有一個時間限制，由於客戶端長時間（休眠時間）沒有與伺服器交互，該session被認為已過期，伺服器將此Session銷毀，客戶端再一次與伺服器交互時之前的Session就不存在了。這就是session的過期。

2.2 設置Session過期時間

2.2.1 傳統web項目中設置Session過期時間

1、在web.xml中設置session-config

如下：

2複製代碼

即，客戶端連續兩次與伺服器交互間隔時間最長為2分鐘，2分鐘後session.getAttribute獲取的值為空。原來的session已被銷毀，從新的session裡獲取之前設置的屬性值自然就為空了。

2、在Tomcat的/conf/web.xml中

session-config,默認值為：30分鐘

30複製代碼

3、在Servlet中設置

HttpSession session = request.getSession;session.setMaxInactiveInterval(60);//單位為秒複製代碼

2.2.2 SpringBoot項目中設置Session過期時間

2.3 說明

1.優先級：Servlet中API設置 > 程序/web.xml設置 > Tomcat/conf/web.xml設置

2.若訪問伺服器session超時（本次訪問與上次訪問時間間隔大於session最大的不活動的間隔時間）了，即上次會話結束，但伺服器與客戶端會產生一個新的會話，之前的session裡的屬性值全部丟失，產生新的sesssionId

3.客戶端與伺服器一次有效會話（session沒有超時），每次訪問sessionId相同，若代碼中設置了session.setMaxInactiveInterval值，那麼這個session的最大不活動間隔時間將被修改，並被應用為新值。

4.Session的銷毀（代表會話周期的結束）：在某個請求周期內調用了Session.invalidate方法，此請求周期結束後，session被銷毀；或者是session超時後自動銷毀；或者客戶端關掉瀏覽器

5.對於JSP，如果指定了，則在JSP中無法直接訪問內置的session變量，同時也不會主動創建session，因為此時JSP未自動執行request.getSession操作獲取session。

3. 操作Cookie

3.1 服務端操作Cookie

前面說過，客戶端每次請求伺服器會把cookie信息放到header頭信息中，我們可以通過 HttpServletRequest.getCookies方法獲取所有cookie對象，通過 HttpServletResponse 對象的addCookie方法向客戶端返回cookie。

具體操作API如下：

Cookie[] cookies = request.getCookies;//request對象獲取所有cookiefor (Cookie cookie : cookies) { String name = cookie.getName;//cookie name String value = cookie.getValue;//cookie value String domain = cookie.getDomain;//域名 int maxAge = cookie.getMaxAge;//過期時間 boolean secure = cookie.getSecure;//瀏覽器通過安全協議發送cookies 返回true String comment = cookie.getComment;//描述 int version = cookie.getVersion;//版本 //以上除name屬性都有對應set方法 boolean httpOnly = cookie.isHttpOnly;//是否Httponly cookie.setHttpOnly(true);//設置Httponly值}//new cookie對象Cookie cookie = new Cookie("userName","walking");cookie.setPath("/");cookie.setMaxAge(60*30);//30分鐘response.addCookie(cookie);//回寫給客戶端瀏覽器複製代碼

3.2 前端操作cookie

前端創建設置cookie

/** * 創建並設置cookie * @param name cookie名稱 * @param value cookie值 * @param expires 過期時間 毫秒 不填則默認30分 */function Setcookie(name, value, expires) { //設置名稱為name,值為value的Cookie expires = expires || 30* 60 * 1000; var expdate = new Date; //初始化時間 expdate.setTime(expdate.getTime expires); //時間 //即document.cookie= name;path=/"; 時間可以不要，但路徑(path)必須要填寫， // 因為JS的默認路徑是當前頁，如果不填，此cookie只在當前頁面生效！~ document.cookie = name ;expires=" expdate.toGMTString ";path=/";}複製代碼

前端獲取cookie屬性值

/** * 獲取對應cookie屬性的value * @param c_name cookie屬性name * @returns {string} cookie value */function getCookie(c_name) { if (document.cookie.length > 0) { c_start = document.cookie.indexOf(c_name "="); if (c_start != -1) { c_start = c_start c_name.length 1; c_end = document.cookie.indexOf(";", c_start); if (c_end == -1) c_end = document.cookie.length; return unescape(document.cookie.substring(c_start, c_end)); } } return "";}複製代碼

4. 總結

1、cookie數據存放在客戶的瀏覽器上，session數據放在伺服器上。

2、cookie不是很安全，別人可以分析存放在本地的cookie並進行cookie欺騙，考慮到安全應當使用session。

3、session會在一定時間內保存在伺服器上。當訪問增多，會比較佔用你伺服器的性能，考慮到減輕伺服器性能方面，應當使用cookie。

4、單個cookie保存的數據不能超過4K，很多瀏覽器都限制一個站點最多保存20個cookie。

5、可以考慮將登錄信息等重要信息存放為session，其他信息如果需要保留，可以放在cookie中。

6、在程序開發過程中，我們可以在客戶端每次與伺服器交互時檢查SessionID（Session中屬性值，非HttpServlet環境開發中也可以用其它的Key值代替），用於會話管理。

關注私信回覆：555領取Java高級架構資料、Spring源碼分析、Dubbo、Redis、Netty、zookeeper、Spring cloud、分布式等