会话管理包括:Session和COOKIE,主要功能都是把客户端和服务器关联起来,用于管理和查看用户在网站中的状态。
背景
Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。即用户A购买了一件商品放入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了。要跟踪该会话,必须引入一种机制。
COOKIE就是这样的一种机制。它可以弥补HTTP协议无状态的不足。在Session出现之前,基本上所有的网站都采用COOKIE来跟踪会话。
可以把COOKIEs看成为http协议的一个扩展
COOKIE和Session对比
| 特性 | COOKIE | Session |
|---|---|---|
| 定位 | COOKIE 是由服务器发送到浏览器的变量 | Session用来追踪每个用户的会话 |
| 调用语句 | setCOOKIE() ,必须在任何输出前调用,位于 标签之前 | session_start(),必须在任何输出前调用,位于 标签之前 |
| 存放位置 | 基于客户端浏览器,存放在内存/硬盘 | 服务端内存 |
| 存储大小 | 单个COOKIE小于3K | 无限制(过大会导致内存溢出) |
| 生命周期 | 浏览器会话期间/设定时间 | 超时时间(未访问过服务器的最长时间) |
| 依赖性 | 依赖于浏览器 | 依赖于COOKIE |
| 安全性 | 不安全 | 较安全 |
COOKIE
COOKIE意为“甜饼”,是由W3C组织提出,最早由Netscape社区发展的一种机制。目前COOKIE已经成为标准,所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持COOKIE。
注意:COOKIE功能需要浏览器的支持。如果浏览器不支持COOKIE(如大部分手机中的浏览器)或者把COOKIE禁用了,COOKIE功能就会失效。不同的浏览器采用不同的方式保存COOKIE。
COOKIE的工作原理:由于HTTP是一种无状态的协议,服务器单从网络连接上无从知道客户身份。怎么办呢?就给客户端们颁发一个通行证吧,每人一个,无论谁访问都必须携带自己通行证。这样服务器就能从通行证上确认客户身份了。
Set-COOKIE 和 COOKIE:两个专门负责设置以及发送COOKIE的http头部。
COOKIE工作流程:
COOKIE实际上是一小段的文本信息。(1)整个客户端请求服务器,(2)如果服务器需要记录该用户状态,则通过服务器返回给客户端一个包含Set-COOKIE这个头部的http响应来指示客户端建立一个COOKIE。客户端浏览器会把COOKIE保存起来,直到这个COOKIE过期。(3)当浏览器再请求该网站时,浏览器把请求的网址连同该COOKIE一同提交给服务器。(4)服务器检查该COOKIE,以此来辨认用户状态,然后响应请求。注意:服务器还可以根据需要修改COOKIE的内容。一个COOKIE的设置以及发送过程分为以下四步:
setCOOKIE() 定义一个和其余的 HTTP 标头一起发送的 COOKIE。和其它标头一样,COOKIE 必须在脚本的任何其它输出之前发送(这是协议限制)。这需要将本函数的调用放到任何输出之前,包括 和 标签以及任何空格。如果在调用 setCOOKIE() 之前有任何输出,本函数将失败并返回 FALSE。因此必须在发送任何HTML(必须位于 标签之前)、文本信息前调用session_start() 函数。
- COOKIE的限制:
- 浏览器记录COOKIE的容量不能大于4KB;
- 每个浏览器只能保存某个服务器上的20个COOKIE。如果保存更多,则最先保存的就会被删除;
- 每个用户的浏览器最多只能访问300个COOKIE。
- 创建COOKIE:setCOOKIE(变量名,变量值,过期时间,在服务器上的有效路径,boolean是否通过安全的HTTPS链接传送);
- COOKIE不会在设置本页生效,在测试时,要在COOKIE过期之前,通过另外一个页面来访问。
- 工作时间:
- 不设置过期时间:重新打开浏览器则失效;表示这个COOKIE生命周期为浏览器会话期间,只要关闭浏览器窗口,COOKIE就消失了。这种生命期为浏览会话期的COOKIE被称为会话COOKIE。
- time()+ n秒数:设定过n秒后COOKIE失效;
- mktime(时,分,秒,月,日,年),设定为到规定时间失效;
会话COOKIE一般不保存在硬盘上而是保存在内存里。如果设置了过期时间,浏览器就会把COOKIE保存到硬盘上,关闭后再次打开浏览器,这些COOKIE依然有效直到超过设定的过期时间。
COOKIE的有效期:COOKIE的maxAge决定着COOKIE的有效期,单位为秒(Second)。COOKIE中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。
- maxAge属性为正数,则表示该COOKIE会在maxAge秒之后自动失效。浏览器会将maxAge为正数的COOKIE持久化,即写到对应的COOKIE文件中。无论客户关闭了浏览器还是电脑,只要还在maxAge秒之前,登录网站时该COOKIE仍然有效。
- maxAge为负数的COOKIE,为临时性COOKIE,称为会话COOKIE,不会被持久化,不会被写到COOKIE文件中。
maxAge为0,则表示删除该COOKIE。COOKIE机制没有提供删除COOKIE的方法,因此通过设置该COOKIE即时失效实现删除COOKIE的效果。失效的COOKIE会被浏览器从COOKIE文件或者内存中删除。
1
2
3
4
5
6
7
8//设置COOKIE过期时间
COOKIE COOKIE = new COOKIE("username","helloweenvsfei"); // 新建COOKIE
COOKIE.setMaxAge(Integer.MAX_VALUE); // 设置生命周期为MAX_VALUE
response.addCOOKIE(COOKIE); // 输出到客户端
//删除COOKIE
COOKIE COOKIE = new COOKIE("username","helloweenvsfei"); // 新建COOKIE
COOKIE.setMaxAge(0); // 设置生命周期为0,不能为负数
response.addCOOKIE(COOKIE); // 必须执行这一句注意:从客户端读取COOKIE时,包括maxAge在内的其他属性都是不可读的,也不会被提交。浏览器提交COOKIE时只会提交name与value属性。maxAge属性只被浏览器用来判断COOKIE是否过期。
COOKIE数组:将COOKIE各个变量联系起来,组成数组,利用$_COOKIE[’COOKIE‘]输出。COOKIE对象使用key-value属性对的形式保存用户状态,一个COOKIE对象保存一个属性对,一个request或者response同时使用多个COOKIE。
提高COOKIE安全性的方法有:
设置HttpOnly为true。该属性值的作用就是防止COOKIE值被页面脚本读取。
但是设置HttpOnly属性,HttpOnly属性只是增加了攻击者的难度,COOKIE盗窃的威胁并没有彻底消除,因为COOKIE还是有可能传递的过程中被监听捕获后信息泄漏。
设置Secure为true。给COOKIE设置该属性时,只有在https协议下访问的时候,浏览器才会发送该COOKIE。
把COOKIE设置为secure,只保证COOKIE与WEB服务器之间的数据传输过程加密,而保存在本地的COOKIE文件并不加密。如果想让本地COOKIE也加密,得自己加密数据。
给COOKIE设置有效期。
特性:
- COOKIE不提供修改、删除操作。如果要修改某个COOKIE,只需要新建一个同名的COOKIE,添加到response中覆盖原来的COOKIE。如果要删除某个COOKIE,只需要新建一个同名的COOKIE,并将maxAge设置为0,并添加到response中覆盖原来的COOKIE。
注意:修改、删除COOKIE时,新建的COOKIE除value、maxAge之外的所有属性,例如name、path、domain等,都要与原COOKIE完全一样。否则,浏览器将视为两个不同的COOKIE不予覆盖,导致修改、删除失败。
- COOKIE具有不可跨域名性。根据COOKIE规范,浏览器依据域名判断一个网站是否能操作另一个网站COOKIE的(域名相同才可以操作)。同一个一级域名下的两个二级域名也不能交互使用,只有严格相同的域名可以交互使用。
如:浏览器访问Google只会携带Google的COOKIE,而不会携带Baidu的COOKIE。Google也只能操作Google的COOKIE,而不能操作Baidu的COOKIE。COOKIE在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的COOKIE而不会操作Baidu的COOKIE,从而保证用户的隐私安全。
- Unicode编码:保存中文。中文与英文字符不同,中文属于Unicode字符,在内存中占4个字符,而英文属于ASCII字符,内存中只占2个字节。COOKIE中使用Unicode字符时需要对Unicode字符进行编码,否则会乱码。
提示:COOKIE中保存中文只能编码。一般使用UTF-8编码即可。不推荐使用GBK等中文编码,因为浏览器不一定支持,而且Javascript也不支持GBK编码。
- BASE64编码:保存二进制图片.COOKIE不仅可以使用ASCII字符与Unicode字符,还可以使用二进制数据。例如在COOKIE中使用数字证书,提供安全度。使用二进制数据时也需要进行编码。
注意:本程序仅用于展示COOKIE中可以存储二进制内容,并不实用。由于浏览器每次请求服务器都会携带COOKIE,因此COOKIE内容不宜过多,否则影响速度。COOKIE的内容应该少而精。
除了COOKIE,客户端传递数据到服务器端的方式还包括POST(数据包含在http请求的内容区域内)和GET(数据包含在请求的url中)。这两种传递数据的方式,比起用COOKIEs来传递数据更稳定,因为COOKIE可能被禁用,但是以GET以及POST方式传递数据时,不存在这种情况。
Session
Session是服务器端使用的一种记录客户端状态的机制,使用上比COOKIE简单一些,相应的也增加了服务器的存储压力。
Session技术则是服务端的解决方案,它是通过服务器来保持状态的。由于Session这个词汇包含的语义很多,因此需要在这里明确一下。
Session的含义
- 把客户端浏览器与服务器之间一系列交互的动作称为一个Session。涉及到Session持续的时间和操作等等;
- Session指的是服务器端为客户端所开辟的存储空间,在其中保存的信息就是用于保持状态。涉及Session中存放的内容及匹配的内容方法等。
Session使用流程:
- 创建Session。在服务器端程序运行的过程中创建Session,同时,服务器为该Session生成唯一的Session id,这个Session id在随后的请求中会被用来匹配已经创建的Session;
- 在Session被创建之后,就可以调用Session相关的方法往Session中增加内容了,而这些内容只会保存在服务器中,发到客户端的只有Session id;
- 当客户端再次发送请求的时候,会将这个Session id带上,服务器接受到请求之后就会依据Session id找到相应的Session,从而再次使用之。
正是这样一个过程,用户的状态也就得以保持了。
Session里的信息应该尽量精简。因为Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。
Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时(向服务器发送请求时)才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。
Session的有效期
由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。
Session的超时时间为maxInactiveInterval属性,可以通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(longinterval)修改。
Session的超时时间也可以在web.xml中修改。另外,通过调用Session的invalidate()方法可以使Session失效。
Session对浏览器的要求
Session保存在服务器,对客户端是透明的。由于Session需要使用COOKIE作为识别标志,它的正常运行仍然需要客户端浏览器的支持。Session依据COOKIE来识别是否为同一用户。该COOKIE为服务器自动生成的,它的maxAge属性一般为–1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。
注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择“在新窗口中打开”时,子窗口便可以访问父窗口的Session。
URL地址重写
如果客户端浏览器将COOKIE功能禁用,或者不支持COOKIE怎么办?例如,绝大多数的手机浏览器都不支持COOKIE。Java Web提供了另一种解决方案:URL地址重写。
URL地址重写是对客户端不支持COOKIE的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持COOKIE,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写。
COOKIE与Session的区别
如果说COOKIE机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
COOKIE数据存放在客户的浏览器上,session数据放在服务器上;
- COOKIE不是很安全,别人可以分析存放在本地的COOKIE并进行COOKIE欺骗,考虑到安全应当使用session;
- session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能。考虑到减轻服务器性能方面,应当使用COOKIE;
- 单个COOKIE在客户端的限制是3K,就是说一个站点在客户端存放的COOKIE不能超过3K;
小结
COOKIE和Session的方案虽然分别属于客户端和服务端,但是服务端的session的实现对客户端的COOKIE有依赖关系的,上面我讲到服务端执行session机制时候会生成session的id值,这个id值会发送给客户端,客户端每次请求都会把这个id值放到http请求的头部发送给服务端,而这个id值在客户端会保存下来,保存的容器就是COOKIE,因此当我们完全禁掉浏览器的COOKIE的时候,服务端的session也会不能正常使用(注意:有些资料说ASP解决这个问题,当浏览器的COOKIE被禁掉,服务端的session任然可以正常使用,ASP我没试验过,但是对于网络上很多用php和jsp编写的网站,我发现禁掉COOKIE,网站的session都无法正常的访问)。
参考:
- 理解COOKIE和Session机制
- 改进版:理解COOKIE和Session机制
京公网安备 11010802041100号