会话技术

会话跟踪技术

会话跟踪 这个词，我们需要拆开来进行解释，首先要理解什么是 会话，然后再去理解什么是 会话跟踪。

会话

会话是指用户打开浏览器，访问 web 服务器的资源，会话建立，直到有一方断开连接，会话结束。

在一次会话中可以包含 多次 请求和响应。

• 从浏览器发出请求到服务端响应数据给前端之后，一次会话（在浏览器和服务器之间）就被建立了
• 会话被建立后，如果浏览器或服务端都没有被关闭，则会话就会一直保持着
• 浏览器和服务器就可以继续使用该会话进行请求发送和响应，上述的整个过程就被称之为 会话。

用实际场景来理解的话，比方说在我们访问京东的时候，当打开浏览器进入京东首页后，浏览器和京东的服务器之间就建立了一次会话，后面的搜索商品，查看商品的详情，加入购物车等操作，都是在这一次会话中完成。

思考：下图中总共建立了几个会话？

每个浏览器都会与服务端建立一个会话，加起来总共是 3 个会话。

会话跟踪

会话跟踪是一种维护浏览器状态的方法，服务端需要识别多次请求是否来自于同一浏览器，以便在同一次会话的多次请求间 共享数据。

服务端平时会收到多个请求，这多个请求可能来自多个浏览器，如上图中的 6 个请求其实来自 3 个浏览器，而服务端需要识别请求是否来自同一个浏览器。服务端识别浏览器的过程，这个过程就是 会话跟踪。服务端识别浏览器后就可以在同一个会话中多次请求之间来共享数据。

那么我们又有问题需要思考：一个会话中的多次请求为什么要共享数据呢？数据共享后能实现哪些功能呢？

• 购物车：加入购物车 和 去购物车结算 是两次请求，但是后面这次请求要想展示前一次请求所添加的商品，就需要用到数据共享。

• 页面展示用户登录信息：很多网站，登录后访问多个功能发送多次请求后，浏览器上都会有当前登录用户的信息[用户名]，比如百度、京东、码云等。

• 网站登录页面的 记住我 功能：当用户登录成功后，勾选 记住我 按钮后下次再登录的时候，网站就会自动填充用户名和密码，简化用户的登录操作，多次登录就会有多次请求，他们之间也涉及到共享数据。

• 登录页面的验证码功能：生成验证码 和 输入验证码后点击注册 这也是两次请求，这两次请求的数据之间要进行对比，相同则允许注册，不同则拒绝注册，该功能的实现也需要在同一次会话中共享数据。

通过这几个例子，我们对 会话追踪 技术已经有了一定的理解，该技术在实际开发中也非常重要。

在学习会话跟踪技术之前，我们需要思考：为什么现在 浏览器 和 服务器 之间不支持数据共享呢？

原因是：

• 浏览器和服务器之间使用的是 HTTP 请求来进行数据传输的，而 HTTP 协议是 无状态 的，每次浏览器向服务器请求时，服务器都会将该请求视为 新的 请求

• HTTP 协议设计成无状态的目的是让每次请求之间相互独立，互不影响
• 所以请求与请求之间独立后，就无法实现多次请求之间的数据共享

会话跟踪技术的实现方式有：

• 客户端 会话跟踪技术：Cookie

• 服务端 会话跟踪技术：Session

这两个技术都可以实现会话跟踪，它们之间最大的区别：Cookie 是存储在浏览器端的，而 Session 是存储在服务器端的。

Cookie

Cookie 的概念

Cookie 是客户端会话技术，它是将数据保存到客户端，以后每次请求都携带 Cookie 数据进行访问。

Cookie 的工作流程

1. 服务端提供了两个 Servlet，分别是 ServletA 和 ServletB
2. 浏览器发送 HTTP 请求 1 给服务端，服务端 ServletA 接收请求并进行业务处理
3. 服务端 ServletA 在处理的过程中可以创建一个 Cookie 对象并将 name = zs 的数据存入 Cookie
4. 服务端 ServletA 在响应数据的时候，会把 Cookie 对象一并返回给浏览器
5. 浏览器接收到响应数据，会把 Cookie 对象中的数据存储在浏览器内存中，此时浏览器和服务端就建立了一次会话
6. 在同一次会话中，浏览器再次发送 HTTP 请求 2 给服务端 ServletB，浏览器这次会同时携带着 Cookie 对象中的数据
7. ServletB 接收到请求和数据后，就可以获取到存储在 Cookie 对象中的数据，这样同一个会话中的多次请求之间就实现了数据的共享

Cookie 的基本使用

对于 Cookie 的使用，我们更关注的应该是服务端代码如何操作 Cookie。服务端对于 Cookie 的操作主要分两大类，分别是发送 Cookie 和获取 Cookie。

发送 Cookie

1. 创建 Cookie 对象，并设置数据:

   Cookie cookie = new Cookie("key","value");

2. 发送 Cookie 到客户端：使用 response 对象

   response.addCookie(cookie);

获取 Cookie

1. 获取客户端携带的所有 Cookie，使用 request 对象

   Cookie[] cookies = request.getCookies();

2. 遍历数组，获取每一个 Cookie 对象

3. 使用 Cookie 对象方法获取数据：

   cookie.getName();
   cookie.getValue();

思考，在访问 ServletA 和 ServletB 的时候，关闭浏览器，重启浏览器后访问 ServletB 能否获取到 Cookie 中的数据呢？这个问题，我会在 Cookie 的使用细节 一节中讲。

Cookie 的原理分析

对于 Cookie 的实现原理是基于 HTTP 协议的，其中涉及到 HTTP 协议中的两个请求头信息：

• 响应头：set-cookie
• 请求头：cookie

前面的案例中，ServletA 给前端发送 Cookie，ServletB 可以从 request 中获取到 Cookie。

ServletA 给前端响应数据的时候，Tomcat 服务器都是基于 HTTP 协议来响应数据，当 Tomcat 发现后端要返回的是一个 Cookie 对象之后，Tomcat 就会在响应头中添加一行数据 Set-Cookie:username=zs。

浏览器获取到响应结果后，从响应头中就可以获取到 Set-Cookie 对应的值 username=zs，并将数据存储在浏览器的内存中。

浏览器再次发送请求给 ServletB 的时候，浏览器会自动在请求头中添加 Cookie: username=zs 发送给服务端 ServletB。

Request 对象会把请求头中 cookie 对应的值封装成一个个 Cookie 对象，最终形成一个数组，ServletB 通过 Request 对象获取到 Cookie[] 后，就可以从中获取自己需要的数据。

Cookie 的使用细节

Cookie 的存活时间

前面我们思考过一个问题：在访问 ServletA 和 ServletB 的时候，关闭浏览器，重启浏览器后访问 ServletB 能否获取到 Cookie 中的数据呢？

注意：浏览器关闭再打开不是指打开一个新的选项卡，而且必须是先关闭整个浏览器再打开浏览器，顺序不能变。

针对上面这个问题，通过测试我们会发现，ServletB 中无法再获取到 Cookie 数据了，这是为什么呢？

答案是，在默认情况下，Cookie 存储在了浏览器的内存中，当浏览器关闭时，内存也会得到释放，Cookie 就会被销毁。

如果我们只使用这种默认情况下的 Cookie，那么有些需求就永远无法实现，比如：

很多网站的登录页面上有一个 记住我 的功能，第一次输入用户名和密码并勾选 记住我 ，然后进行登录，下次再登陆的时候，用户名和密码就会被自动填充，不需要再重新输入登录。

倘若我们希望 记住我 这个功能需要记住用户名和密码一个星期，那么默认情况下的 Cookie 就是做不到的，因为默认情况下，浏览器一关，Cookie 就会从浏览器内存中删除，记住我 功能就无法实现。

所以我们 需要将 Cookie 进行持久化存储，而 Cookie 已经为我们提供好了对应的 API 来完成这件事：

• 设置 Cookie 存活时间，单位为秒

  setMaxAge(int seconds)

其参数范围为：

1. 正数：将 Cookie 写入浏览器所在电脑的硬盘，持久化存储，到时间自动删除

2. 负数：默认值，Cookie 在当前浏览器内存中，当浏览器关闭，则 Cookie 被销毁

3. 零：删除操作，删除对应的 Cookie

接下来，咱们就在 ServletA 中去设置 Cookie 的存活时间。

@WebServlet("/aServlet")
public class AServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        //发送Cookie
        //1. 创建Cookie对象
        Cookie cookie = new Cookie("username","zs");
        //设置存活时间，一周、7天
        cookie.setMaxAge(60*60*24*7); //易阅读，需程序计算
		//cookie.setMaxAge(604800); //不易阅读(可以使用注解弥补)，程序少进行一次计算
        //2. 发送Cookie，response
        response.addCookie(cookie);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

Cookie 存储中文

测试一下，将之前 username=zs 的值改成 username=张三，把汉字 张三 存入到 Cookie 中，看看效果:

@WebServlet("/aServlet")
public class AServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
 		//发送Cookie
        String value = "张三";
        Cookie cookie = new Cookie("username",value);
        //设置存活时间   ，1周 7天
        cookie.setMaxAge(60*60*24*7);
        //2. 发送Cookie，response
        response.addCookie(cookie);
    }

    @Override
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doGet(request, response);
    }
}

启动访问测试，访问 http://localhost:8080/cookie-demo/aServlet 会发现浏览器会提示错误信息：

由此，我们得到一个结论：Cookie 不能直接存储中文！

那该怎么办呢？这个时候，我们可以使用之前学过的 URL 编码和 URL 解码，所以如果需要存储中文，就需要进行转码，具体的实现思路为:

1. 在 ServletA 中对中文进行 URL 编码，采用 URLEncoder.encode()，将编码后的值存入 Cookie 中

2. 在 ServletB 中获取 Cookie 中的值，获取的值为 URL 编码后的值

3. 将获取的值再进行 URL 解码，采用 URLDecoder.decode()，就可以获取到对应的中文值

Session

Cookie 已经能完成一次会话多次请求之间的数据共享，之前我们还提到过 Session 也可以实现。

Session 的概念

Session 是服务端会话跟踪技术，它是将数据保存在了服务端。

Session 是存储在服务端，而 Cookie 是存储在客户端，因为存储在客户端的数据容易被窃取和截获，存在很多不安全的因素，所以数据存储在服务端相比于客户端来说显然更加安全。

Session 的工作流程

1. 在服务端的 ServletA 获取一个 Session 对象，把数据存入其中
2. 在服务端的 ServletB 获取到相同的 Session 对象，从中取出数据
3. 就可以实现一次会话中多次请求之间的数据共享了
4. 现在最大的问题是如何保证 ServletA 和 ServletB 使用的是同一个 Session 对象（在 Session 的原理分析 中会讲解）

Session 的基本使用

在 JavaEE 中提供了 HttpSession 接口，来实现一次会话的多次请求之间数据共享功能。

具体的使用步骤：

获取 Session 对象

• 使用的是 request 对象

  HttpSession Session = request.getSession();

Session 对象提供的功能

• 存储数据到 Session 域中

  void setAttribute(String name, Object o)

• 根据 key 获取值

  Object getAttribute(String name)

• 根据 key 删除键值对

  void removeAttribute(String name)

注意：Session 中可以存储的是一个 Object 类型的数据，也就是说 Session 中可以存储任意数据类型。

Session 的原理分析

首先，Session 是基于 Cookie 实现的，但这句话其实不太能详细的说明 Session 的底层实现。

Session 要想实现一次会话多次请求之间的数据共享，就必须要保证在一次会话多次请求中获取 Session 的对象是同一个。

原理如下：

1. ServletA 在第一次获取 Session 对象的时候，Session 对象会有一个唯一的标识，假如是 id:10
2. ServletA 在 Session 中存入其他数据并处理完成所有业务后，需要通过 Tomcat 服务器响应结果给浏览器
3. Tomcat 服务器发现业务处理中使用了 Session 对象，就会把 Session 的唯一标识 id:10 当做一个cookie，添加 Set-Cookie:JESSIONID=10 到响应头中，并响应给浏览器
4. 浏览器接收到响应结果后，会把响应头中的 coookie 数据存储到浏览器的内存中
5. 浏览器在同一会话中访问 ServletB 的时候，会把cookie中的数据按照 cookie: JESSIONID=10 的格式添加到请求头中并发送给服务器 Tomcat
6. ServletB 获取到请求后，从请求头中就读取 cookie 中的 JSessionID 值为10，然后就会到服务器 Tomcat 的内存中寻找 id:10 的 Session 对象，如果找到了，就直接返回该对象，如果没有则再创建一个 Session 对象
7. 关闭再打开浏览器后，因为浏览器的 cookie 已被销毁，所以就没有 JESSIONID 的数据，服务端获取到的 Session 就是一个全新的 Session 对象

由上文可知，Session 是由 Tomcat 进行统一管理的，至此，我们就解释了什么叫 Session 是基于 Cookie 实现的。

Session 的使用细节

Session 钝化与活化

思考：服务器重启后，Session 中的数据是否还会存在？

理论上，服务器端 ServletA 和 ServletB 共用的 Session 对象是存储在服务器的内存中，服务器重新启动后，内存中的数据应该已经被释放，对象也应该都销毁了，所以 Session 数据应该也已经不存在了。

但是如果 Session 不存在会引发什么问题呢?

场景举例：

1. 用户把需要购买的商品添加到购物车，因为要实现同一个会话多次请求的数据共享，所以假设把数据存在了 Session 对象中
2. 用户正要付钱的时候接到一个电话，付钱的动作就暂停了
3. 正在用户打电话的时候，购物网站因为某些原因需要重启
4. 重启后 Session 数据被销毁，购物车中的商品信息也就会随之而消失
5. 用户电话结束，想再次发起支付，此时就会出为问题

所以说，对于 Session 里的数据，我们应该做到就算服务器重启了，也应该能把数据保存下来才对。

实际上，Tomcat 服务器在正常关闭和启动的情况下，Session 中的数据是可以被保存下来的。

那么 Tomcat 服务器到底是如何做到的呢？

答案就是：Session 的 钝化 和 活化。

钝化：

• 在服务器正常关闭后，Tomcat 会自动将 Session 数据写入到硬盘中。

• 钝化的数据路径为：项目目录\target\tomcat\work\Tomcat\localhost\项目名称\SessionS.ser

  

活化：

• 再次启动服务器后，Tomcat 会把钝化的数据从文件中加载到 Session 中。

• 数据加载到 Session 中后，路径中的 SESSIONS.ser 文件会被删除掉。

对于上述的整个过程，只需要了解下即可，因为所有的过程都是 Tomcat 自己完成的，不需要我们参与。

值得我们注意的是：

• Session 数据存储在服务端，服务器重启后，Session 数据会被保存

• 浏览器被关闭启动后，重新建立的连接就已经是一个全新的会话，获取的 Session 数据也是一个新的对象

• Session 的数据要想共享，浏览器不能关闭，所以 Session 数据不能长期保存数据

• cookie 存储在客户端，是可以长期保存的

Session 销毁

Session 的销毁会有两种方式：

• 默认情况下，无操作后 30 分钟自动销毁。

  • 这个失效时间，是可以通过配置进行修改的

  • 在项目的 web.xml 中配置

    <?xml version="1.0" encoding="UTF-8"?>
    <web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
             xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
             xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_3_1.xsd"
             version="3.1">
        
        <Session-config>
            <Session-timeout>100</Session-timeout>
        </Session-config>
    </web-app>

  • 如果没有配置，默认是30分钟，默认值是在 Tomcat 的 web.xml 配置文件中写死的

• 调用 Session 对象的 invalidate() 方法进行销毁。

  • 在SessionDemo2 类中添加 Session 销毁的方法

    //获取Session对象
    HttpSession Session = request.getSession();
    // 销毁
    Session.invalidate();

  • 该销毁方法一般会用在用户退出的时候，这时需要将 Session 销毁掉。

Cookie 和 Session 都是来完成一次会话内多次请求间 数据共享 的，但其区别如下：

区别	Cookie	Session
存储位置	客户端	服务端
安全性	不安全	安全
数据大小	最大 3KB	无大小限制
存储时间	可以通过 setMaxAge() 长期存储	默认30分钟
服务器性能	不占用服务器资源	占用服务器资源

各自常见的应用场景：

• 购物车：使用Cookie来存储
• 以登录用户的名称展示：使用Session来存储
• 记住我功能：使用Cookie来存储
• 验证码：使用Session来存储

结论：

• Cookie 是用来保证用户在未登录情况下的身份识别
• Session 是用来保存用户登录后的数据

介绍完 Cookie 和 Session 以后，具体用哪个还是需要根据具体的业务进行具体分析。