理解Session与Cookie

这篇文章的出发点是为了整理Session与Cookie相关知识点，以免在相关概念混淆或分不清的时候到处查阅资料，这些也是理解Http请求的很重要的部分。

一、Cookie

1、Cookie是什么

• 在HTTP中它表示服务器送给客户端浏览器的小甜点。

Cookie翻译成中文是小甜点，小饼干的意思。其实Cookie就是一个键和一个值构成的，随着服务器端的响应发送给客户端浏览器。然后客户端浏览器会把Cookie保存起来，当下一次再访问服务器时把Cookie再发送给服务器。

• Cookie是由服务器创建，然后通过响应发送给客户端的一个键值对。

客户端会保存Cookie，并会标注出Cookie的来源（哪个服务器的Cookie）。当客户端向服务器发出请求时会把所有这个服务器Cookie包含在请求中发送给服务器，这样服务器就可以识别客户端了！

cookie.png

2、Cookie规范

• Cookie大小上限为4KB；
• 一个服务器最多在客户端浏览器上保存20个Cookie；
• 一个浏览器最多保存300个Cookie；

上面的数据只是HTTP的Cookie规范，但在浏览器大战的今天，一些浏览器为了打败对手，为了展现自己的能力起见，可能对Cookie规范“扩展”了一些，例如每个Cookie的大小为8KB，最多可保存500个Cookie等！但也不会出现把你硬盘占满的可能！
注意，不同浏览器之间是不共享Cookie的。也就是说在你使用IE访问服务器时，服务器会把Cookie发给IE，然后由IE保存起来，当你在使用FireFox访问服务器时，不可能把IE保存的Cookie发送给服务器。

3、Cookie与HTTP头

Cookie是通过HTTP请求和响应头在客户端和服务器端传递的。

• Cookie：请求头，客户端发送给服务器端；

格式：Cookie: a=A; b=B; c=C。即多个Cookie用分号离开；

• Set-Cookie：响应头，服务器端发送给客户端；

一个Cookie对象一个Set-Cookie：
Set-Cookie: a=A
Set-Cookie: b=B
Set-Cookie: c=C

• Cookie的覆盖

如果服务器端发送重复的Cookie那么会覆盖原有的Cookie，例如客户端的第一个请求服务器端发送的Cookie是：Set-Cookie: a=A；第二请求服务器端发送的是：Set-Cookie: a=AA，那么客户端只留下一个Cookie，即：a=AA。

• Cookie示例
  客户端访问AServlet，AServlet在响应中添加Cookie，浏览器会自动保存Cookie。然后客户端访问BServlet，这时浏览器会自动在请求中带上Cookie，BServlet获取请求中的Cookie打印出来，代码如下所示：

public class AServlet extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType("text/html;charset=utf-8");
        //生成一个随机字符串
        String id = UUID.randomUUID().toString();
        //创建Cookie对象，指定名字和值
        Cookie cookie = new Cookie("id", id);
        //在响应中添加Cookie对象
        response.addCookie(cookie);
        response.getWriter().print("已经给你发送了ID");
    }
}


public class BServlet extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        response.setContentType("text/html;charset=utf-8");
        //获取请求中的Cookie
        Cookie[] cs = request.getCookies();
        if(cs != null) {//如果请求中存在Cookie
            for(Cookie c : cs) {//遍历所有Cookie
                if(c.getName().equals("id")) {//获取Cookie名字，如果Cookie名字是id
                    response.getWriter().print("您的ID是：" + c.getValue());//打印Cookie值
                }
            }
        }
    }
}

4、Cookie的生命（有效期）

所谓生命就是Cookie在客户端的有效时间，可以通过setMaxAge(int)来设置Cookie的有效时间。

• cookie.setMaxAge(-1)
  cookie的maxAge属性的默认值就是-1，表示只在浏览器内存中存活。一旦关闭浏览器窗口，那么cookie就会消失。
• cookie.setMaxAge(6060)*
  表示cookie对象可存活1小时。当生命大于0时，浏览器会把Cookie保存到硬盘上，就算关闭浏览器，就算重启客户端电脑，cookie也会存活1小时；
• cookie.setMaxAge(0)
  cookie生命等于0是一个特殊的值，它表示cookie被作废！也就是说，如果原来浏览器已经保存了这个Cookie，那么可以通过Cookie的setMaxAge(0)来删除这个Cookie。无论是在浏览器内存中，还是在客户端硬盘上都会删除这个Cookie。

5、Cookie的path（路径）

• 什么是Cookie的路径

现在有WEB应用A，向客户端发送了10个Cookie，这就说明客户端无论访问应用A的哪个Servlet都会把这10个Cookie包含在请求中！但是也许只有AServlet需要读取请求中的Cookie，而其他Servlet根本就不会获取请求中的Cookie。这说明客户端浏览器有时发送这些Cookie是多余的！
可以通过设置Cookie的path来指定浏览器，在访问什么样的路径时，包含什么样的Cookie。

• 设置Cookie的路径
• 设置Cookie的路径需要使用setPath()方法，例如：
  cookie.setPath(“/cookietest/servlet”);
• 如果没有设置Cookie的路径，那么Cookie路径的默认值当前访问资源所在路径，例如：

访问http://localhost:8080/cookietest/AServlet时添加的Cookie默认路径为/cookietest；
访问http://localhost:8080/cookietest/servlet/BServlet时添加的Cookie默认路径为/cookietest/servlet；
访问http://localhost:8080/cookietest/jsp/BServlet时添加的Cookie默认路径为/cookietest/jsp；

• Cookie路径与请求路径的关系
  请求路径如果包含了Cookie路径，那么会在请求中包含这个Cookie，否则不会请求中不会包含这个Cookie。
  下面是客户端浏览器保存的3个Cookie的路径：
  a:　/cookietest；
  b:　/cookietest/servlet；
  c:　/cookietest/jsp；
  下面是浏览器请求的URL：
  A:　http://localhost:8080/cookietest/AServlet；
  B:　http://localhost:8080/cookietest/servlet/BServlet；
  C:　http://localhost:8080/cookietest/servlet/CServlet；
  那么：
  请求A时，会在请求中包含a；
  请求B时，会在请求中包含a、b；
  请求C时，会在请求中包含a、c；
  因为：
  A请求的URL包含了/cookietest，所以会在请求中包含路径为“/cookietest”的Cookie；
  B请求的URL包含了/cookietest，以及/cookietest/servlet，所以请求中包含路径为/cookietest和/cookietest/servlet两个Cookie；
  B请求的URL包含了/cookietest，以及/cookietest/jsp，所以请求中包含路径为/cookietest和/cookietest/jsp两个Cookie；

• Cookie中保存中文
  Cookie的name和value都不能使用中文，如果希望在Cookie中使用中文，那么需要先对中文进行URL编码，然后把编码后的字符串放到Cookie中。

//向客户端响应中添加Cookie
String name = URLEncoder.encode("姓名", "UTF-8");
String value = URLEncoder.encode("张三", "UTF-8");
Cookie c = new Cookie(name, value);
response.addCookie(c);

//从客户端请求中获取Cookie
response.setContentType("text/html;charset=utf-8");
Cookie[] cs = request.getCookies();
if(cs != null) {
    for(Cookie c : cs) {
        String name = URLDecoder.decode(c.getName(), "UTF-8");
        String value = URLDecoder.decode(c.getValue(), "UTF-8");
        String s = name + ": " + value + "<br/>";
        response.getWriter().print(s);
    }
}

二、HttpSession

首先要明白什么是会话：（下文 出现的session就是指HttpSession）

会话：一个用户对服务器的多次连贯性请求！所谓连贯性请求，就是该用户多次请求中间没有关闭浏览器！
会话范围：会话范围是某个用户从首次访问服务器开始，到该用户关闭浏览器结束！
一个会话创建一个HttpSession对象，同一会话中的多个请求中可以共享session中的数据；

1、 获取HttpSession对象

HttpSession request.getSesssion()
如果当前会话已经有了session对象那么直接返回；
如果当前会话还不存在会话，那么创建session并返回；

HttpSession request.getSession(boolean)
当参数为true时，与requeset.getSession()相同。
如果参数为false，那么如果当前会话中存在session则返回，
不存在则返回null；

2、 HttpSession的域方法

void setAttribute(String name, Object value)
用来存储一个对象，也可以称之为存储一个域属性；
例如：session.setAttribute(“xxx”, “XXX”)，
在session中保存了一个域属性，域属性名称为xxx，域属性的值为XXX。
请注意，如果多次调用该方法，并且使用相同的name，
那么会覆盖上一次的值，这一特性与Map相同；

Object getAttribute(String name)
：用来获取session中的数据，当前在获取之前需要先去存储才行；
例如：String value = (String) session.getAttribute(“xxx”);，
获取名为xxx的域属性；

void removeAttribute(String name)
用来移除HttpSession中的域属性；
如果参数name指定的域属性不存在，那么本方法什么都不做；

Enumeration getAttributeNames()
获取所有域属性的名称；

3、session的实现原理

• 创建session是在在第一次获取session时，即调用方法request.getSession()，服务器不会主动创建session。
• session底层是依赖Cookie的。

（1）当首次使用session时，服务器端要创建session，session是保存在服务器端，而给客户端的是session的id（一个cookie中保存了sessionId）。客户端带走的是sessionId，而数据是保存在session中。
（2）当客户端再次访问服务器时，在请求中会带上sessionId，而服务器会通过sessionId找到对应的session，而无需再创建新的session。

• session与浏览器的关系

（1）session保存在服务器，而sessionId通过Cookie发送给客户端，但这个Cookie的生命等于-1，即只在浏览器内存中存在，也就是说如果用户关闭了浏览器，那么这个Cookie就丢失了。
（2）当用户再次打开浏览器访问服务器时，就不会有sessionId发送给服务器，那么服务器会认为你没有session，所以服务器会创建一个session，并在响应中把sessionId中到Cookie中发送给客户端。
（3）那原来的session对象会怎样？当一个session长时间没人使用的话，服务器会把session删除了！这个时长在Tomcat中配置是30分钟，可以在${CATALANA}/conf/web.xml找到这个配置，当然你也可以在自己的web.xml中覆盖这个配置！

web.xml
    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>

4、session其他常用API

String getId()：获取sessionId；
int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟。当session在30分钟内没有使用，那么Tomcat会在session池中移除这个session；
void setMaxInactiveInterval(int interval)：设置session允许的最大不活动时间（秒），如果设置为1秒，那么只要session在1秒内不被使用，那么session就会被移除；
long getCreationTime()：返回session的创建时间，返回值为当前时间的毫秒值；
long getLastAccessedTime()：返回session的最后活动时间，返回值为当前时间的毫秒值；
void invalidate()：让session失效！调用这个方法会被session失效，当session失效后，客户端再次请求，服务器会给客户端创建一个新的session，并在响应中给客户端新session的sessionId；
boolean isNew()：查看session是否为新。当客户端第一次请求时，服务器为客户端创建session，但这时服务器还没有响应客户端，也就是还没有把sessionId响应给客户端时，这时session的状态为新。

5、URL重写

使用URL重写来替代Cookie，有两种实现方式：

• 在每个页面中的每个链接和表单中都添加名为jSessionId的参数，值为当前sessionid。当用户点击链接或提交表单时也服务器可以通过获取jSessionId这个参数来得到客户端的sessionId，找到sessoin对象。
• 使用response.encodeURL(String url)对每个请求的URL处理，这个方法会自动追加jsessionid参数，与上面我们手动添加是一样的效果。