JavaWeb核心技术中Session与Cookie浅析

在Java Web应用程序开发中，Session 和 Cookie 是实现用户持久化登录和状态管理的两种基本机制，下面我们将介绍Session与Cookie的概念和使用。

Session

什么是Session？

Session 是Web服务端存储客户端会话信息的一种机制。通过使用唯一的session id 来标识不同的客户端请求，Web服务端可以准确地识别存储和处理不同客户端的状态信息。

Session的作用

Session 的主要作用有：

1. 保持用户状态信息： Session 可以在 Web 客户端之间存储和传递用户特定的信息。这些信息可用于保持 Web 应用程序中的用户状态如登录状态、购物车内容、表单输入等。

2. 记录用户的行为过程：通过 Session 可以追踪用户在应用程序中的行为过程，Web 服务端可以在后续的请求中检测和处理这些行为。

Session的使用方式

在 Java Web 应用程序中，Session 可以通过以下方式使用：

1. 获取Session

HttpSession session = request.getSession(); 

使用 request.getSession() 方法获取 Session 对象，如果该请求中已经包含了 Session，则直接返回客户端传递过来的 sessionId 对应的 Session 对象。否则，此方法将会返回一个新的Session 对象并分配一个唯一的 sessionId 给该对象。

1. 存储和获取数据

// 存储数据
session.setAttribute("username", "Tom");

// 获取数据
String username = (String)session.getAttribute("username");

通过 session.setAttribute() 方法存储数据，使用 session.getAttribute() 方法获取数据。

1. 失效Session

// 使 session 失效
session.invalidate(); 

使用 session.invalidate() 方法可以使 Session 失效。

Cookie

什么是Cookie？

Cookie 是一种数据文件，存储在客户端浏览器中。Web 服务端可以在响应中下发 Cookie 给客户端。客户端浏览器可以将 Cookie 文件存储在本地，此后每次用户访问 Web 服务端时，浏览器将会带上此 Cookie 文件，Web 服务端就可以解析这个文件，读取其中存储的数据信息。这种机制是通过 HTTP 协议来实现的。

Cookie的使用

在 Java Web 应用程序中，Cookie 可以通过以下方式使用：

1. 下发Cookie

Cookie cookie = new Cookie("username", "Tom");
cookie.setMaxAge(86400);
response.addCookie(cookie);

使用 response.addCookie() 方法下发 Cookie，该方法接受一个 Cookie 对象作为参数，Cookie 对象中包含了 Cookie 的相关信息，如名称，值，有效期等。

1. 读取Cookie

Cookie[] cookies = request.getCookies();
if (cookies != null) {
    for (Cookie cookie : cookies) {
        if (cookie.getName().equals("username")) {
            String username = cookie.getValue();
        }
    }
}

通过 request.getCookies() 方法读取客户端传递过来的所有Cookie，在 Web 服务端可以使用循环语句遍历所有Cookie，并根据名称获取Cookie的值。

Session与Cookie的选择

对于存储重要信息的情况，我们更推荐使用 Session 来存储，因为 Session 存储在服务端中，即使 Cookie 被篡改，也不会泄漏重要信息。而在存储一些简单信息的情况下，可以使用 Cookie。

示例

下面是两个简单的示例，分别演示了使用 Session 和 Cookie 来实现用户登录状态的管理。

使用Session来实现用户登录状态的管理示例

@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 获取用户名与密码
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        // 如果用户名为"Tom"，密码为"123456"则认为登录成功
        if ("Tom".equals(username) && "123456".equals(password)) {
            // 登录成功，将用户信息存储到 Session 中
            HttpSession session = request.getSession(); 
            session.setAttribute("username", username);

            // 跳转到成功页面
            response.sendRedirect(request.getContextPath() + "/success.jsp");
        } else {
            // 登录失败，返回错误消息
            request.setAttribute("error", "用户名或密码错误");
            request.getRequestDispatcher("/login.jsp").forward(request, response);
        }
    }
}

在登录成功时，我们将用户信息存储到Session中，其他页面可以通过Session获取用户信息。

@WebServlet("/userInfo")
public class UserInfoServlet extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 从 Session 中获取用户名
        HttpSession session = request.getSession(false);
        String username = (String)session.getAttribute("username");

        // 将用户名返回给客户端
        response.getWriter().append("username: ").append(username);
    }
}

在访问用户信息页面时，我们通过Session获取用户名并返回给客户端。

使用Cookie来实现用户登录状态的管理示例

@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 获取用户名与密码
        String username = request.getParameter("username");
        String password = request.getParameter("password");

        // 如果用户名为"Tom"，密码为"123456"则认为登录成功
        if ("Tom".equals(username) && "123456".equals(password)) {
            // 登录成功，将用户信息存储到 Cookie 中
            Cookie cookie = new Cookie("username", username);
            cookie.setMaxAge(86400);
            response.addCookie(cookie);

            // 跳转到成功页面
            response.sendRedirect(request.getContextPath() + "/success.jsp");
        } else {
            // 登录失败，返回错误消息
            request.setAttribute("error", "用户名或密码错误");
            request.getRequestDispatcher("/login.jsp").forward(request, response);
        }
    }
}

在登录成功时，我们将用户信息存储到Cookie中：

@WebServlet("/userInfo")
public class UserInfoServlet extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 从 Cookie 中获取用户名
        Cookie[] cookies = request.getCookies();
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                if (cookie.getName().equals("username")) {
                    String username = cookie.getValue();

                    // 将用户名返回给客户端
                    response.getWriter().append("username: ").append(username);
                    return;
                }
            }
        }

        // 如果没有找到Cookie，则返回空
        response.getWriter().append("username: ");
    }
}

在访问用户信息页面时，我们通过Cookie获取用户名并返回给客户端。