Java 会话跟踪技术

本文发布于：2022年4月23日

字数：3.5k字

时长：14分钟

Java Web 核心第四章。当用户打开浏览器，访问 web 服务器的资源时，会话就会建立，直到有一方断开连接，会话结束。在访问时，服务器会收到多个请求，这多个请求可能来自多个浏览器，服务器需要用会话跟踪来识别请求是否来自同一个浏览器。会话追踪技术在实际开发中也非常重要，可以用于实现一次会话多次请求之间的数据共享。以下为我在学习和实战练习过程中所做的笔记，可供参考。

一、会话跟踪技术的概述

会话：从浏览器发出请求到服务端响应数据给前端之后，一次会话（在浏览器和服务器之间）就被建立了。会话被建立后，如果浏览器或服务端都没有被关闭，则会话就会持续建立着。浏览器和服务器就可以继续使用该会话进行请求发送和响应，上述的整个过程就被称之为会话。

在一次会话中可以包含多次请求和响应。

会话跟踪：一种维护浏览器状态的方法，服务器需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间共享数据。服务器用来识别浏览器的过程就是会话跟踪。

服务器识别浏览器后就可以在同一个会话中多次请求之间来共享数据。

为什么现在浏览器和服务器不支持数据共享呢？

浏览器和服务器之间使用的是 HTTP 请求来进行数据传输，HTTP 协议是无状态的，每次浏览器向服务器请求时，服务器都会将该请求视为新的请求。
HTTP 协议设计成无状态的目的是让每次请求之间相互独立，互不影响。
请求与请求之间独立后，就无法实现多次请求之间的数据共享。

会话跟踪技术的具体实现方式：

客户端会话跟踪技术：Cookie
服务端会话跟踪技术：Session

这两个技术都可以实现会话跟踪，它们之间最大的区别：Cookie 是存储在浏览器端而 Session 是存储在服务器端。

Cookie：客户端会话技术，将数据保存到客户端，以后每次请求都携带 Cookie 数据进行访问。

服务端提供了两个 Servlet，分别是 Servlet A 和 Servlet B。

浏览器发送 HTTP 请求 1 给服务端，服务端 Servlet A 接收请求并进行业务处理；服务端 Servlet A 在处理的过程中可以创建一个 Cookie 对象并将 name=zs 的数据存入 Cookie；服务端 Servlet A 在响应数据的时候，会把 Cookie 对象响应给浏览器；浏览器接收到响应数据，会把 Cookie 对象中的数据存储在浏览器内存中，此时浏览器和服务端就建立了一次会话。

在同一次会话中浏览器再次发送 HTTP 请求 2 给服务端 Servlet B，浏览器会携带 Cookie 对象中的所有数据；Servlet B 接收到请求和数据后，就可以获取到存储在 Cookie 对象中的数据，这样同一个会话中的多次请求之间就实现了数据共享。

发送Cookie：

创建 Cookie 对象，并设置数据：

1	Cookie cookie = new Cookie("key","value");

使用 response 对象发送Cookie到客户端：

1	response.addCookie(cookie);

在 Servlet 中生成 Cookie 对象并存入数据，然后将数据发送给浏览器：

创建 Maven 项目 cookie-demo，并在 pom.xml 添加依赖：

<properties>
    <maven.compiler.source>8</maven.compiler.source>
    <maven.compiler.target>8</maven.compiler.target>
</properties>

<dependencies>
    <!--servlet-->
    <dependency>
        <groupId>javax.servlet</groupId>
        <artifactId>javax.servlet-api</artifactId>
        <version>3.1.0</version>
        <scope>provided</scope>
    </dependency>
    <!--jsp-->
    <dependency>
        <groupId>javax.servlet.jsp</groupId>
        <artifactId>jsp-api</artifactId>
        <version>2.2</version>
        <scope>provided</scope>
    </dependency>
    <!--jstl-->
    <dependency>
        <groupId>jstl</groupId>
        <artifactId>jstl</artifactId>
        <version>1.2</version>
    </dependency>
    <dependency>
        <groupId>taglibs</groupId>
        <artifactId>standard</artifactId>
        <version>1.1.2</version>
    </dependency>
</dependencies>
<build>
    <plugins>
        <plugin>
            <groupId>org.apache.tomcat.maven</groupId>
            <artifactId>tomcat7-maven-plugin</artifactId>
            <version>2.2</version>
        </plugin>
    </plugins>
</build>

编写 Servlet 类，名称为 AServlet，在Servlet中创建Cookie对象，存入数据，发送给前端：

@WebServlet("/aServlet")
public class AServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //发送Cookie
        //1. 创建Cookie对象
        Cookie cookie = new Cookie("username","zs");
        //2. 发送Cookie，response
        response.addCookie(cookie);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

获取 Cookie：

获取客户端携带的所有 Cookie，使用 request 对象：

1	Cookie[] cookies = request.getCookies();

遍历数组，获取每一个 Cookie 对象，使用 Cookie 对象方法获取数据：

1 2	cookie.getName(); cookie.getValue();

在 Servlet 中获取前一个案例存入在 Cookie 对象中的数据：

编写一个新 Servlet 类，名称为 BServlet，在 BServlet 中使用 request 对象获取 Cookie 数组，遍历数组，从数据中获取指定名称对应的值：

@WebServlet("/bServlet")
public class BServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取Cookie
        //1. 获取Cookie数组
        Cookie[] cookies = request.getCookies();
        //2. 遍历数组
        for (Cookie cookie : cookies) {
            //3. 获取数据
            String name = cookie.getName();
            if("username".equals(name)){
                String value = cookie.getValue();
                System.out.println(name+":"+value);
                break;
            }
        }

    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

对于 Cookie 的实现原理是基于 HTTP 协议的两个请求头信息：响应头 set-cookie 和请求头 cookie。

对于 AServlet 响应数据的时候，Tomcat 服务器是基于 HTTP 协议来响应数据，当 Tomcat 发现后端要返回的是一个 Cookie 对象之后，Tomcat 就会在响应头中添加一行数据 Set-Cookie:username=zs。浏览器获取到响应结果后，从响应头中就可以获取到 Set-Cookie 对应值 username=zs，并将数据存储在浏览器的内存中。

浏览器再次发送请求给 BServlet 的时候，浏览器会自动在请求头中添加 Cookie: username=zs 发送给服务端 BServlet。Request 对象会把请求头中 cookie 对应的值封装成一个个 Cookie 对象，最终形成一个数组。BServlet 通过 Request 对象获取到 Cookie[] 后，就可以从中获取自己需要的数据。

Cookie 的存活时间：默认情况下，Cookie 存储在浏览器内存中，当浏览器关闭，内存释放，则 Cookie 被销毁。

如何将 Cookie 持久化存储？Cookie 其实已经为我们提供好了对应的 API 来完成这件事，这个 API 就是 setMaxAge：

1	setMaxAge(int seconds) //设置Cookie存活时间

setMaxAge 参数值为：

正数：将 Cookie 写入浏览器所在电脑的硬盘，持久化存储，到时间自动删除。
负数：默认值，Cookie 在当前浏览器内存中，当浏览器关闭，则 Cookie 被销毁。
零：删除对应 Cookie。

在 AServlet 中设置 Cookie 的存活时间：

@WebServlet("/aServlet")
public class AServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //发送Cookie
        //1. 创建Cookie对象
        Cookie cookie = new Cookie("username","zs");
        //设置存活时间   ，1周 7天
        cookie.setMaxAge(60*60*24*7); //易阅读，需程序计算
		//cookie.setMaxAge(604800); //不易阅读(可以使用注解弥补)，程序少进行一次计算
        //2. 发送Cookie，response
        response.addCookie(cookie);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

Cookie 不能存储中文，但是如果有这方面的需求，可以使用 URL编码 进行转码：

在 AServlet 中对中文进行 URL 编码：

@WebServlet("/aServlet")
public class AServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //发送Cookie
        String value = "张三";
        //对中文进行URL编码
        value = URLEncoder.encode(value, "UTF-8");
        System.out.println("存储数据："+value);
        //将编码后的值存入Cookie中
        Cookie cookie = new Cookie("username",value);
        //设置存活时间   ，1周 7天
        cookie.setMaxAge(60*60*24*7);
        //2. 发送Cookie，response
        response.addCookie(cookie);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

在 BServlet 中获取值，并对值进行解码：

@WebServlet("/bServlet")
public class BServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取Cookie
        //1. 获取Cookie数组
        Cookie[] cookies = request.getCookies();
        //2. 遍历数组
        for (Cookie cookie : cookies) {
            //3. 获取数据
            String name = cookie.getName();
            if("username".equals(name)){
                String value = cookie.getValue();//获取的是URL编码后的值 %E5%BC%A0%E4%B8%89
                //URL解码
                value = URLDecoder.decode(value,"UTF-8");
                System.out.println(name+":"+value);//value解码后为 张三
                break;
            }
        }

    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

三、Session

Session：另一种服务端会话跟踪技术，将数据保存到服务端。

Session 是存储在服务端而 Cookie 是存储在客户端。存储在客户端的数据容易被窃取和截获，存在很多不安全的因素，存储在服务端的数据相比于客户端来说就更安全。

在服务端的 AServlet 获取一个 Session 对象，把数据存入其中，在服务端的 BServlet 获取到相同的 Session 对象，从中取出数据，就可以实现一次会话中多次请求之间的数据共享了。

Session 的基本使用

JavaEE 提供了 HttpSession 接口来实现一次会话的多次请求之间数据共享功能。

获取 Session 对象,使用的是 request 对象：

1	HttpSession session = request.getSession();

Session 对象提供的功能:

Session 的获取：

1	HttpSession session = request.getSession();

Session 常用方法的使用：

1 2	void setAttribute(String name, Object o) Object getAttribute(String name)

存储数据到 session 域中：

1	void setAttribute(String name, Object o)

根据 key，获取值：
1
Object getAttribute(String name)
根据 key，删除该键值对：
1
void removeAttribute(String name)

在一个 Servlet 中往 Session 中存入数据，在另一个 Servlet 中获取 Session 中存入的数据：

创建名为 SessionDemo1 的 Servlet 类，获取 Session 对象、存储数据：

@WebServlet("/demo1")
public class SessionDemo1 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    	//存储到Session中
        //1. 获取Session对象
        HttpSession session = request.getSession();
        //2. 存储数据
        session.setAttribute("username","zs");
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

创建名为 SessionDemo2 的 Servlet 类，获取 Session 对象、获取数据：

@WebServlet("/demo2")
public class SessionDemo2 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取数据，从session中
        //1. 获取Session对象
        HttpSession session = request.getSession();
        //2. 获取数据
        Object username = session.getAttribute("username");
        System.out.println(username);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

Session 的原理分析

Session 是基于 Cookie 实现的，所以 Session 实现的也是一次会话中的多次请求之间的数据共享。

Session 要想实现一次会话多次请求之间的数据共享，就必须要保证多次请求获取 Session 的对象是同一个，如果是不同浏览器或者重新打开浏览器后，打印的 Session 就不一样了。

Session 的使用细节

Session 钝化与活化：

Session 数据存储在服务端，服务器重启后，Session数据会被保存；
浏览器被关闭启动后，重新建立的连接就已经是一个全新的会话，获取的 Session 数据也是一个新的对象；
Session 的数据要想共享，浏览器不能关闭，所以 Session 数据不能长期保存数据；
Cookie 是存储在客户端，是可以长期保存的。

Session 的销毁有两种方式：

默认情况下，无操作，默认 30 分钟自动销毁，失效时间可以在项目的 web.xml 中配置修改：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
         version="3.1">

    <session-config>
        <session-timeout>100</session-timeout>
    </session-config>
</web-app>

调用 Session 对象的 invalidate() 进行销毁，该销毁方法一般会在用户退出的时候及时将 Session 销毁掉：

@WebServlet("/demo2")
public class SessionDemo2 extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //获取数据，从session中

        //1. 获取Session对象
        HttpSession session = request.getSession();
        System.out.println(session);

        // 销毁
        session.invalidate();
        //2. 获取数据
        Object username = session.getAttribute("username");
        System.out.println(username);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

Cookie 和 Session 都是来完成一次会话内多次请求间数据共享的。

Cookie 和 Session 的区别：

存储位置：Cookie 是将数据存储在客户端，Session 将数据存储在服务端。
安全性：Cookie 不安全，Session 安全。
数据大小：Cookie 最大 3 KB，Session 无大小限制。
存储时间：Cookie 可以通过 setMaxAge() 长期存储，Session 默认 30 分钟。
服务器性能：Cookie 不占服务器资源，Session 占用服务器资源。

Cookie 和 Session 的应用场景：

购物车：使用 Cookie 来存储；
以登录用户的名称展示：使用 Session 来存储；
记住我功能使用 Cookie 来存储；
验证码使用 Session 来存储。

简而言之，Cookie 是用来保证用户在未登录情况下的身份识别，Session 是用来保存用户登录后的数据。

Bezhuang

Filter 和 Listener

Java Web 核心第五章。Filter 和 Listener 是 JavaWeb 三大组件（Servlet、Filter、Listener）的另两个组成部分。Filter 表示过滤器，可以...

Java Server Pages 和 MVC 模式

Java Web 核心第三章。JSP（Java Server Pages）是由 Sun Microsystems 公司主导创建的一种动态网页技术标准。JSP 部署于网络服务器上，可以响应客户端...

Java 会话跟踪技术

一、会话跟踪技术的概述

二、Cookie

Cookie 的基本使用

Cookie 的原理分析

Cookie 的使用细节

Cookie 存储中文

三、Session

Session 的基本使用

Session 的原理分析

Session 的使用细节

四、Cookie 和 Session