2. IT
    3. JavaWeb-Cookie和Session

    JavaWeb-Cookie和Session

    xiaoxiao2021-03-25  75

    Cookie是客户端技术;Session是服务器端技术。

    API:

    javax.servlet.http:Class Cookiejavax.servlet.http:Interface HttpSession

    cookie

    一些细节:

    一个cookie只能标识一种信息,至少含有标识该信息的名称和值浏览器一般只允许存放300个cookie,每个站点最多存放20个,每个cookie大小限制为4KB默认是会话级别cookie(存储于浏览器内存),浏览器进程关闭则删除。有效期通过maxAge设置,存于硬盘,0表示删除删除cookie时,path必须一致,否则不会删除

    session

    session对象由服务器创建,一个浏览器(会话)独占一个session对象

    session对象由服务器创建生命周期

    创建:调用request对象的getSession方法后才会创建session对象;getSession(false)只获取, 不创建销毁:默认30分钟没人使用则自动销毁。失效时间可在web.xml的<session-config>标签中使用<session-timeout>,单位分钟;也可调用session对象的invalidate方法销毁

    实现原理

    session基于cookie实现,将JSESSIONID写回浏览器,这个cookie(JSESSIONID)默认没设置有效期,关浏览器即销毁。可以自行回写JSESSIONID覆盖原cookie值

    示例代码片段:

    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { HttpSession session = req.getSession(); String sessionid = session.getId(); Cookie cookie = new Cookie("JSESSIONID",sessionid); cookie.setPath("/s1"); cookie.setMaxAge(30*60); resp.addCookie(cookie); }

    应用案例

    用户登录防止表单重复提交一次性验证码的校验

    小Tips

    一般大型网站不用session,使用cookie,减小服务器压力若浏览器禁用cookie,需使用url自带sessionid,相关方法:encodeURL和encodeRedirectURL禁止表单重复提交:在javascript或者服务器实现。javascript防不死,用户可通过修改js、自建表单提交,刷新页面,后退等方法重复提交;服务器实现是给每个表单一个随机表单号生成表单号使用“令牌发生器”,为保证唯一性(减小重复概率),使用单例。base64编码,三字节变四字节,每6位变8位(一字节),高位补零,每字节最大值为63,故得名。md5,常用于保存密码(可能为防止破解会加随机数),校验数据完整性

    防止表单重复提交之令牌例子:

    package org.iot.data; import sun.misc.BASE64Encoder; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.util.Random; /** * Created by brian on 2016/1/27. */ public class TokenProcessor {//令牌 /** * 1.构造方法私有 * 2.自己创建一个 * 3.对外暴露一个方法,允许获取上面创建的对象 */ private TokenProcessor(){} private static final TokenProcessor instance = new TokenProcessor(); public static TokenProcessor getInstance(){ return instance; } public String genetateToken(){ String token = System.currentTimeMillis()+new Random().nextInt()+""; try { MessageDigest md = MessageDigest.getInstance("md5"); byte [] md5 = md.digest(token.getBytes()); //base64编码 BASE64Encoder encoder = new BASE64Encoder(); return encoder.encode(md5); } catch (NoSuchAlgorithmException e) { e.printStackTrace(); throw new RuntimeException(e); } } }

    三个域对象

    SessionRequestServletContext

    容器选用经验:

    数据显示完了就没用了,则选用Request数据除了显示外,稍后还会用,则选用Session数据除了显示外,不仅稍后会用,还会给别人用,则选用ServletContext
    转载请注明原文地址: https://ju.6miu.com/read-34935.html

    技术

    最新回复(0)