会话机制

温故

关键字如下

会话机制

今天学习了会话（cookie+session）技术，当然是假的啦！哈哈哈。特此做一个记录，我们带着诸多问题来阐述会话机制。程序员注定要和问题打交道，对于一个知识，解决的疑问越多，掌握的越娴熟，才能更好的运用。问题如下，当然喽仅仅是一些基本的问题。

一、会话技术

1．会话技术是啥子嘞？（是什么？）

  从打开一个浏览器去发送http请求访问某个站点，到关闭这个浏览器的整个过程，叫做一次会话，会话是个动作。打开你的脑瓜儿，骚年，打开谷歌浏览器–>百度页面—>关谷歌浏览器（和你打开或关闭谷歌的任何tab页【包括刚才我们打开的百度页】没有半颗铜子儿的关系，仅仅与浏览器开闭有关），简简单单的发请求，做响应。

  这个水儿一般过程涉及到了2个名词 请求的发起者，就是客户端同志（即我们的谷歌浏览器）掌声鼓励，请求的处理者我们管他叫服务端同志，哇呀呀，随之带来了今天的主题，客户端的Cookie和服务端的Session，换而言之，会话技术就是cookie和session技术。

  会话技术帮助服务器记住客户端状态（服务器说，没得办法，我就是必须闹明白是哪个幺妹儿（客户端）向我飞了个吻（http请求））。干嘛呢？这么麻烦，额，你要怪就怪http协议是个无状态，无情无义的家伙。http协议说我看不见啊，看不见。。。。，我就是这么纯粹。我就不告诉你是哪个妹纸（客户端）向你发送的请求呢，叉会儿腰。

  会话技术记录这次会话过程中客户端的状态与数据的。理由同上（哼，傲娇的http协议.jpg）

2．什么场景下，使用呢？

  下节要闹明白的单点登录，网站的购物系统，等等等。你想一下，登录是个多么常见的场景哟。欢迎大家伙儿做评论补充，多多益善。小子先谢过啦。

3．怎么使用。（怎么用？）

  详见下面的（二、三、）

  总结一二：会话技术就是是打开浏览器，发送一个http请求，服务端记住客户端的过程。各自伴随着cookie和session值的变化。如图

  没明白，也不打紧，看完后面的cookie和session单项在来研究这个图不迟。

1、浏览器在第一次访问Tomcat服务器的时候,Tomcat服务器会在服务端创建session对象,并存储到map中.key是session的id,value是session对象本身.
2、在响应的时候会把session的id通过cookie的方式写到客户端浏览器中.
3、浏览器会在本地的目录中把session的id写入到本地的cookie中.
4、在后续的请求中,都自动会读取本地的cookie中的内容,并在请求的时候带上对应的cookie.
5、服务端会根据传递的cookie，直接找到对应的session对象

二、Cookie技术

1．Cookie是啥子嘞？（是什么？）如图所示

  通俗的说就是一个浏览器访问一下站点，就会一个cookie字符串，cookie里面对应的值由服务器定义，如图

  意思是，我谷歌浏览器，访问www.crm.com域名拥有一个了cookie。
  保持同一个会话，同一个浏览器，多次访问同一个站点的不同资源，cookie都是同一个。再次请求浏览器自动携带，和你多次访问，访问站点的不同资源没关系。
  Cookie技术是将数据（如jsessionid等）存储到客户端(浏览器)的技术，可以把cookie想象是浏览器上的一个袋子。千万不要忘记会话这个概念，如果会话不存在了,或者用户手动清除了本地浏览器的cookie.辣么你懂的，cookie就废废了。

2．什么场景下，使用cookie呢？

  客户端也就是浏览器，需要保存一些数据，这个数据有可能是服务端的信息或者用户信息。

3．怎么使用cookie。（怎么用？）【重点】

  从2个方向进行突破：

• 服务器端怎样将一个数据保存到客户端的Cookie里
• 服务器端怎样取出客户端携带的Cookie

服务器将数据保存到客户端的cookie中（全步骤有5，看情况使用）
1）服务器端向客户端发送一个Cookie，需要创建Cookie：
  示例：

Cookie cookie = new Cookie(String cookieName,String cookieValue); ---参考上面的jssessionid=xxxx

  那么该cookie会以响应头的形式发送给客户端：
  注意：Cookie中不能存储中文
2）设置Cookie在客户端（浏览器里）的持久化(存活)时间：

cookie.setMaxAge(int seconds); ---时间秒

  注意：如果不设置持久化时间(浏览器中的cookie存活时间)，cookie会存储在本地浏览器的内存中，浏览器关闭 cookie信息销毁（会话级别的cookie），如果设置持久化时间，cookie信息会被持久化到浏览器的磁盘文件磁盘文件里，就算关闭浏览器，在设置存活的时间内再次打开浏览器，还是有效滴。
  示例：

cookie.setMaxAge(10*60);

  设置cookie信息在浏览器的磁盘文件中存储的时间是10分钟，过期浏览器自动删除该cookie信息

3)设置Cookie的携带路径：【用的较少】

cookie.setPath(String path);

  注意：如果不设置携带路径，那么该cookie信息会在访问产生该cookie的 web资源所在的路径都携带cookie信息
  示例：

cookie.setPath("/my-client-crm");

  代表访问my-client-crm应用里的的任何资源都携带cookie

cookie.setPath("/my-client-crm/cookieServlet");

  代表访问my-client-crm中的cookieServlet时才携带cookie信息，有局限性

4）向客户端发送cookie：

response.addCookie(Cookie cookie);

5）删除客户端【浏览器】的cookie：
  如果想删除客户端的已经存储的cookie信息，那么就设置同名同路径的持久化时间为0的cookie进行覆盖即可

Cookie cookie = new Cookie(String cookieName,String cookieValue);
cookie.setMaxAge(0);

服务器端怎么接受客户端携带的Cookie
cookie信息是以请求头的方式发送到服务器端的：
1）通过request获得所有的Cookie：

Cookie[] cookies = request.getCookies();

  这里需要一个解释： 同一个浏览器为毛有多个cookie？俺说了喽，同一个浏览器访问一个站点，辣么这个站点就对应着一个cookie,很明显，我们的浏览器绝壁不可能只访问一个站点，我用同一个浏览器一会去优酷，一会儿上b站，还有上腾讯，这一会儿的功夫不就3个cookie了么？

2）遍历Cookie数组，通过Cookie的名称获得我们想要的Cookie

for(Cookie cookie : cookies){
	if(cookie.getName().equal(cookieName)){
		String cookieValue = cookie.getValue();
	}
}

重点：
Cookie技术：存到客户端

Cookie cookie = new Cookie(name,value)
cookie.setMaxAge(秒)
cookie.setPath()
response.addCookie(cookie)

Cookie技术：服务器获得cookie

Cookie[] cookies = request.getCookies();
for(Cookie cookie : cookies){
	if(cookie.getName().equal(cookieName)){
		String cookieValue = cookie.getValue();
	}
}

三、Session技术【重点】

  Session技术是将数据存储在服务器端的技术，会为每个客户端【浏览器】都创建一块内存空间 存储用户的数据，客户端每次请求都需要携带一个标识ID去服务器中寻找属于自己的内存空间。所以说Session的实现是基于Cookie，Session需要借助于浏览器中Cookie存储的唯一性标识JSESSIONID

在Session这我们需要学习如下三个问题：
  怎样获得客户端对应的的session对象（内存区域）？
  怎样向session中存取数据（session也是一个域对象）？
  session对象的生命周期？

1．获得Session对象

HttpSession session = request.getSession();

  此方法会获得专属于当前会话的Session对象，如果服务器端没有该会话的Session对象会创建一个新的Session返回，如果已经有了属于该会话的Session直接将已有的Session返回（实质就是根据JSESSIONID判断该客户端是否在服务器上已经存在 session了）

2．怎样向session中存取数据（session也是一个域对象）

  Session也是存储数据的区域对象，所以session对象也具有如下三个方法：session是一个内存空间

session.setAttribute(String name,Object obj);
session.getAttribute(String name);
session.removeAttribute(String name);

3．Session对象的生命周期（面试题/笔试题）

创建：第一次执行request.getSession()时创建
销毁：

• 服务器（非正常）关闭时

• session过期/失效（默认30分钟）

• 手动销毁session

session.invalidate();

问题：失效时间的起始点从何时开始计算30分钟？

  从 不操作服务器端的资源开始计时

可以在工程的web.xml中进行配置

<session-config>
        <session-timeout>30</session-timeout>
</session-config>

session的作用范围：
默认在一次会话中，也就是说在，一次会话中任何资源公用一个session对象

面试题：浏览器关闭，session就销毁了？ 不对

  浏览器关闭了，说明此次会话结束了，cookie死掉了。这就意味着，在session的过期时间以内，服务端的session

成了游离状态【还有一口气儿】。服务器非正常关闭+session失效+手动销毁才会被正式处死掉。

【发送请求的过程中cookie和session各自变化如下：】