成人午夜视频全免费观看高清-秋霞福利视频一区二区三区-国产精品久久久久电影小说-亚洲不卡区三一区三区一区

Cookie與Session有何異同?

2021-03-13    分類: 網(wǎng)站建設(shè)

會(huì)話(Session)跟蹤是Web程序中常用的技術(shù),用來跟蹤用戶的整個(gè)會(huì)話。常用的會(huì)話跟蹤技術(shù)是Cookie與Session。Cookie通過在客戶端記錄信息確定用戶身份,Session通過在服務(wù)器端記錄信息確定用戶身份。

本章將系統(tǒng)地講述Cookie與Session機(jī)制,并比較說明什么時(shí)候不能用Cookie,什么時(shí)候不能用Session。

 

1.1  Cookie機(jī)制

在程序中,會(huì)話跟蹤是很重要的事情。理論上,一個(gè)用戶的所有請(qǐng)求操作都應(yīng)該屬于同一個(gè)會(huì)話,而另一個(gè)用戶的所有請(qǐng)求操作則應(yīng)該屬于另一個(gè)會(huì)話,二者不能混淆。例如,用戶A在超市購(gòu)買的任何商品都應(yīng)該放在A的購(gòu)物車內(nèi),不論是用戶A什么時(shí)間購(gòu)買的,這都是屬于同一個(gè)會(huì)話的,不能放入用戶B或用戶C的購(gòu)物車內(nèi),這不屬于同一個(gè)會(huì)話。

而Web應(yīng)用程序是使用HTTP協(xié)議傳輸數(shù)據(jù)的。HTTP協(xié)議是無狀態(tài)的協(xié)議。一旦數(shù)據(jù)交換完畢,客戶端與服務(wù)器端的連接就會(huì)關(guān)閉,再次交換數(shù)據(jù)需要建立新的連接。這就意味著服務(wù)器無法從連接上跟蹤會(huì)話。即用戶A購(gòu)買了一件商品放入購(gòu)物車內(nèi),當(dāng)再次購(gòu)買商品時(shí)服務(wù)器已經(jīng)無法判斷該購(gòu)買行為是屬于用戶A的會(huì)話還是用戶B的會(huì)話了。要跟蹤該會(huì)話,必須引入一種機(jī)制。

Cookie就是這樣的一種機(jī)制。它可以彌補(bǔ)HTTP協(xié)議無狀態(tài)的不足。在Session出現(xiàn)之前,基本上所有的網(wǎng)站都采用Cookie來跟蹤會(huì)話。

1.1.1  什么是Cookie

Cookie意為“甜餅”,是由W3C組織提出,最早由Netscape社區(qū)發(fā)展的一種機(jī)制。目前Cookie已經(jīng)成為標(biāo)準(zhǔn),所有的主流瀏覽器如IE、Netscape、Firefox、Opera等都支持Cookie。

由于HTTP是一種無狀態(tài)的協(xié)議,服務(wù)器單從網(wǎng)絡(luò)連接上無從知道客戶身份。怎么辦呢?就給客戶端們頒發(fā)一個(gè)通行證吧,每人一個(gè),無論誰訪問都必須攜帶自己通行證。這樣服務(wù)器就能從通行證上確認(rèn)客戶身份了。這就是Cookie的工作原理。

Cookie實(shí)際上是一小段的文本信息。客戶端請(qǐng)求服務(wù)器,如果服務(wù)器需要記錄該用戶狀態(tài),就使用response向客戶端瀏覽器頒發(fā)一個(gè)Cookie??蛻舳藶g覽器會(huì)把Cookie保存起來。當(dāng)瀏覽器再請(qǐng)求該網(wǎng)站時(shí),瀏覽器把請(qǐng)求的網(wǎng)址連同該Cookie一同提交給服務(wù)器。服務(wù)器檢查該Cookie,以此來辨認(rèn)用戶狀態(tài)。服務(wù)器還可以根據(jù)需要修改Cookie的內(nèi)容。

 

 

查看某個(gè)網(wǎng)站頒發(fā)的Cookie很簡(jiǎn)單。在瀏覽器地址欄輸入javascript:alert (document. cookie)就可以了(需要有網(wǎng)才能查看)。JavaScript腳本會(huì)彈出一個(gè)對(duì)話框顯示本網(wǎng)站頒發(fā)的所有Cookie的內(nèi)容,如圖1.1所示。

圖1.1  Baidu網(wǎng)站頒發(fā)的Cookie

 

圖1.1中彈出的對(duì)話框中顯示的為Baidu網(wǎng)站的Cookie。其中第一行BAIDUID記錄的就是筆者的身份helloweenvsfei,只是Baidu使用特殊的方法將Cookie信息加密了。

 

注意:Cookie功能需要瀏覽器的支持。

如果瀏覽器不支持Cookie(如大部分手機(jī)中的瀏覽器)或者把Cookie禁用了,Cookie功能就會(huì)失效。

不同的瀏覽器采用不同的方式保存Cookie。

IE瀏覽器會(huì)在“C:\Documents and Settings\你的用戶名\Cookies”文件夾下以文本文件形式保存,一個(gè)文本文件保存一個(gè)Cookie。

 

1.1.2  記錄用戶訪問次數(shù)

Java中把Cookie封裝成了javax.servlet.http.Cookie類。每個(gè)Cookie都是該Cookie類的對(duì)象。服務(wù)器通過操作Cookie類對(duì)象對(duì)客戶端Cookie進(jìn)行操作。通過request.getCookie()獲取客戶端提交的所有Cookie(以Cookie[]數(shù)組形式返回),通過response.addCookie(Cookiecookie)向客戶端設(shè)置Cookie。

Cookie對(duì)象使用key-value屬性對(duì)的形式保存用戶狀態(tài),一個(gè)Cookie對(duì)象保存一個(gè)屬性對(duì),一個(gè)request或者response同時(shí)使用多個(gè)Cookie。因?yàn)镃ookie類位于包javax.servlet.http.*下面,所以JSP中不需要import該類。

 

1.1.3  Cookie的不可跨域名性

很多網(wǎng)站都會(huì)使用Cookie。例如,Google會(huì)向客戶端頒發(fā)Cookie,Baidu也會(huì)向客戶端頒發(fā)Cookie。那瀏覽器訪問Google會(huì)不會(huì)也攜帶上Baidu頒發(fā)的Cookie呢?或者Google能不能修改Baidu頒發(fā)的Cookie呢?

答案是否定的。Cookie具有不可跨域名性。根據(jù)Cookie規(guī)范,瀏覽器訪問Google只會(huì)攜帶Google的Cookie,而不會(huì)攜帶Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。

Cookie在客戶端是由瀏覽器來管理的。瀏覽器能夠保證Google只會(huì)操作Google的Cookie而不會(huì)操作Baidu的Cookie,從而保證用戶的隱私安全。瀏覽器判斷一個(gè)網(wǎng)站是否能操作另一個(gè)網(wǎng)站Cookie的依據(jù)是域名。Google與Baidu的域名不一樣,因此Google不能操作Baidu的Cookie。

需要注意的是,雖然網(wǎng)站images.google.com與網(wǎng)站www.google.com同屬于Google,但是域名不一樣,二者同樣不能互相操作彼此的Cookie。

 

注意:用戶登錄網(wǎng)站www.google.com之后會(huì)發(fā)現(xiàn)訪問images.google.com時(shí)登錄信息仍然有效,而普通的Cookie是做不到的。這是因?yàn)镚oogle做了特殊處理。本章后面也會(huì)對(duì)Cookie做類似的處理。

 

1.1.4  Unicode編碼:保存中文

中文與英文字符不同,中文屬于Unicode字符,在內(nèi)存中占4個(gè)字符,而英文屬于ASCII字符,內(nèi)存中只占2個(gè)字節(jié)。Cookie中使用Unicode字符時(shí)需要對(duì)Unicode字符進(jìn)行編碼,否則會(huì)亂碼。

 

提示:Cookie中保存中文只能編碼。一般使用UTF-8編碼即可。不推薦使用GBK等中文編碼,因?yàn)闉g覽器不一定支持,而且JavaScript也不支持GBK編碼。

 

1.1.5  BASE64編碼:保存二進(jìn)制圖片

Cookie不僅可以使用ASCII字符與Unicode字符,還可以使用二進(jìn)制數(shù)據(jù)。例如在Cookie中使用數(shù)字證書,提供安全度。使用二進(jìn)制數(shù)據(jù)時(shí)也需要進(jìn)行編碼。

%注意:本程序僅用于展示Cookie中可以存儲(chǔ)二進(jìn)制內(nèi)容,并不實(shí)用。由于瀏覽器每次請(qǐng)求服務(wù)器都會(huì)攜帶Cookie,因此Cookie內(nèi)容不宜過多,否則影響速度。Cookie的內(nèi)容應(yīng)該少而精。

 

1.1.6  設(shè)置Cookie的所有屬性

除了name與value之外,Cookie還具有其他幾個(gè)常用的屬性。每個(gè)屬性對(duì)應(yīng)一個(gè)getter方法與一個(gè)setter方法。Cookie類的所有屬性如表1.1所示。

表1.1  Cookie常用屬性

屬  性  名

描    述

String name

該Cookie的名稱。Cookie一旦創(chuàng)建,名稱便不可更改

Object value

該Cookie的值。如果值為Unicode字符,需要為字符編碼。如果值為二進(jìn)制數(shù)據(jù),則需要使用BASE64編碼

int maxAge

該Cookie失效的時(shí)間,單位秒。如果為正數(shù),則該Cookie在maxAge秒之后失效。如果為負(fù)數(shù),該Cookie為臨時(shí)Cookie,關(guān)閉瀏覽器即失效,瀏覽器也不會(huì)以任何形式保存該Cookie。如果為0,表示刪除該Cookie。默認(rèn)為–1

boolean secure

該Cookie是否僅被使用安全協(xié)議傳輸。安全協(xié)議。安全協(xié)議有HTTPS,SSL等,在網(wǎng)絡(luò)上傳輸數(shù)據(jù)之前先將數(shù)據(jù)加密。默認(rèn)為false

String path

該Cookie的使用路徑。如果設(shè)置為“/sessionWeb/”,則只有contextPath為“/sessionWeb”的程序可以訪問該Cookie。如果設(shè)置為“/”,則本域名下contextPath都可以訪問該Cookie。注意最后一個(gè)字符必須為“/”

String domain

可以訪問該Cookie的域名。如果設(shè)置為“.google.com”,則所有以“google.com”結(jié)尾的域名都可以訪問該Cookie。注意第一個(gè)字符必須為“.”

String comment

該Cookie的用處說明。瀏覽器顯示Cookie信息的時(shí)候顯示該說明

int version

該Cookie使用的版本號(hào)。0表示遵循Netscape的Cookie規(guī)范,1表示遵循W3C的RFC 2109規(guī)范

 

1.1.7  Cookie的有效期

Cookie的maxAge決定著Cookie的有效期,單位為秒(Second)。Cookie中通過getMaxAge()方法與setMaxAge(int maxAge)方法來讀寫maxAge屬性。

如果maxAge屬性為正數(shù),則表示該Cookie會(huì)在maxAge秒之后自動(dòng)失效。瀏覽器會(huì)將maxAge為正數(shù)的Cookie持久化,即寫到對(duì)應(yīng)的Cookie文件中。無論客戶關(guān)閉了瀏覽器還是電腦,只要還在maxAge秒之前,登錄網(wǎng)站時(shí)該Cookie仍然有效。下面代碼中的Cookie信息將永遠(yuǎn)有效。

 

Cookie cookie = new Cookie("username","helloweenvsfei");   // 新建Cookie

cookie.setMaxAge(Integer.MAX_VALUE);           // 設(shè)置生命周期為MAX_VALUE

response.addCookie(cookie);                    // 輸出到客戶端

 

如果maxAge為負(fù)數(shù),則表示該Cookie僅在本瀏覽器窗口以及本窗口打開的子窗口內(nèi)有效,關(guān)閉窗口后該Cookie即失效。maxAge為負(fù)數(shù)的Cookie,為臨時(shí)性Cookie,不會(huì)被持久化,不會(huì)被寫到Cookie文件中。Cookie信息保存在瀏覽器內(nèi)存中,因此關(guān)閉瀏覽器該Cookie就消失了。Cookie默認(rèn)的maxAge值為–1。

如果maxAge為0,則表示刪除該Cookie。Cookie機(jī)制沒有提供刪除Cookie的方法,因此通過設(shè)置該Cookie即時(shí)失效實(shí)現(xiàn)刪除Cookie的效果。失效的Cookie會(huì)被瀏覽器從Cookie文件或者內(nèi)存中刪除,

 

例如:

Cookie cookie = new Cookie("username","helloweenvsfei");   // 新建Cookie

cookie.setMaxAge(0);                          // 設(shè)置生命周期為0,不能為負(fù)數(shù)

response.addCookie(cookie);                    // 必須執(zhí)行這一句

 

response對(duì)象提供的Cookie操作方法只有一個(gè)添加操作add(Cookie cookie)。

要想修改Cookie只能使用一個(gè)同名的Cookie來覆蓋原來的Cookie,達(dá)到修改的目的。刪除時(shí)只需要把maxAge修改為0即可。

 

注意:從客戶端讀取Cookie時(shí),包括maxAge在內(nèi)的其他屬性都是不可讀的,也不會(huì)被提交。瀏覽器提交Cookie時(shí)只會(huì)提交name與value屬性。maxAge屬性只被瀏覽器用來判斷Cookie是否過期。

 

1.1.8  Cookie的修改、刪除

Cookie并不提供修改、刪除操作。如果要修改某個(gè)Cookie,只需要新建一個(gè)同名的Cookie,添加到response中覆蓋原來的Cookie。

如果要?jiǎng)h除某個(gè)Cookie,只需要新建一個(gè)同名的Cookie,并將maxAge設(shè)置為0,并添加到response中覆蓋原來的Cookie。注意是0而不是負(fù)數(shù)。負(fù)數(shù)代表其他的意義。讀者可以通過上例的程序進(jìn)行驗(yàn)證,設(shè)置不同的屬性。

 

注意:修改、刪除Cookie時(shí),新建的Cookie除value、maxAge之外的所有屬性,例如name、path、domain等,都要與原Cookie完全一樣。否則,瀏覽器將視為兩個(gè)不同的Cookie不予覆蓋,導(dǎo)致修改、刪除失敗。

 

1.1.9  Cookie的域名

Cookie是不可跨域名的。域名www.google.com頒發(fā)的Cookie不會(huì)被提交到域名www.baidu.com去。這是由Cookie的隱私安全機(jī)制決定的。隱私安全機(jī)制能夠禁止網(wǎng)站非法獲取其他網(wǎng)站的Cookie。

正常情況下,同一個(gè)一級(jí)域名下的兩個(gè)二級(jí)域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie,因?yàn)槎叩挠蛎⒉粐?yán)格相同。如果想所有helloweenvsfei.com名下的二級(jí)域名都可以使用該Cookie,需要設(shè)置Cookie的domain參數(shù),例如:

Cookie cookie = new Cookie("time","20080808"); // 新建Cookie

cookie.setDomain(".helloweenvsfei.com");           // 設(shè)置域名

cookie.setPath("/");                              // 設(shè)置路徑

cookie.setMaxAge(Integer.MAX_VALUE);               // 設(shè)置有效期

response.addCookie(cookie);                       // 輸出到客戶端

 

讀者可以修改本機(jī)C:\WINDOWS\system32\drivers\etc下的hosts文件來配置多個(gè)臨時(shí)域名,然后使用setCookie.jsp程序來設(shè)置跨域名Cookie驗(yàn)證domain屬性。

注意:domain參數(shù)必須以點(diǎn)(".")開始。另外,name相同但domain不同的兩個(gè)Cookie是兩個(gè)不同的Cookie。如果想要兩個(gè)域名完全不同的網(wǎng)站共有Cookie,可以生成兩個(gè)Cookie,domain屬性分別為兩個(gè)域名,輸出到客戶端。

 

1.1.10  Cookie的路徑

domain屬性決定運(yùn)行訪問Cookie的域名,而path屬性決定允許訪問Cookie的路徑(ContextPath)。例如,如果只允許/sessionWeb/下的程序使用Cookie,可以這么寫:

Cookie cookie = new Cookie("time","20080808");     // 新建Cookie

cookie.setPath("/session/");                          // 設(shè)置路徑

response.addCookie(cookie);                           // 輸出到客戶端

設(shè)置為“/”時(shí)允許所有路徑使用Cookie。path屬性需要使用符號(hào)“/”結(jié)尾。name相同但domain相同的兩個(gè)Cookie也是兩個(gè)不同的Cookie。

 

注意:頁(yè)面只能獲取它屬于的Path的Cookie。例如/session/test/a.jsp不能獲取到路徑為/session/abc/的Cookie。使用時(shí)一定要注意。

 

1.1.11  Cookie的安全屬性

HTTP協(xié)議不僅是無狀態(tài)的,而且是不安全的。使用HTTP協(xié)議的數(shù)據(jù)不經(jīng)過任何加密就直接在網(wǎng)絡(luò)上傳播,有被截獲的可能。使用HTTP協(xié)議傳輸很機(jī)密的內(nèi)容是一種隱患。如果不希望Cookie在HTTP等非安全協(xié)議中傳輸,可以設(shè)置Cookie的secure屬性為true。瀏覽器只會(huì)在HTTPS和SSL等安全協(xié)議中傳輸此類Cookie。下面的代碼設(shè)置secure屬性為true:

 

Cookie cookie = new Cookie("time", "20080808"); // 新建Cookie

cookie.setSecure(true);                           // 設(shè)置安全屬性

response.addCookie(cookie);                        // 輸出到客戶端

 

提示:secure屬性并不能對(duì)Cookie內(nèi)容加密,因而不能保證絕對(duì)的安全性。如果需要高安全性,需要在程序中對(duì)Cookie內(nèi)容加密、解密,以防泄密。

 

1.1.12  JavaScript操作Cookie

Cookie是保存在瀏覽器端的,因此瀏覽器具有操作Cookie的先決條件。瀏覽器可以使用腳本程序如JavaScript或者VBScript等操作Cookie。這里以JavaScript為例介紹常用的Cookie操作。例如下面的代碼會(huì)輸出本頁(yè)面所有的Cookie。

<script>document.write(document.cookie);</script>

由于JavaScript能夠任意地讀寫Cookie,有些好事者便想使用JavaScript程序去窺探用戶在其他網(wǎng)站的Cookie。不過這是徒勞的,W3C組織早就意識(shí)到JavaScript對(duì)Cookie的讀寫所帶來的安全隱患并加以防備了,W3C標(biāo)準(zhǔn)的瀏覽器會(huì)阻止JavaScript讀寫任何不屬于自己網(wǎng)站的Cookie。換句話說,A網(wǎng)站的JavaScript程序讀寫B(tài)網(wǎng)站的Cookie不會(huì)有任何結(jié)果。

 

1.1.13  案例:永久登錄

如果用戶是在自己家的電腦上上網(wǎng),登錄時(shí)就可以記住他的登錄信息,下次訪問時(shí)不需要再次登錄,直接訪問即可。實(shí)現(xiàn)方法是把登錄信息如賬號(hào)、密碼等保存在Cookie中,并控制Cookie的有效期,下次訪問時(shí)再驗(yàn)證Cookie中的登錄信息即可。

保存登錄信息有多種方案。最直接的是把用戶名與密碼都保持到Cookie中,下次訪問時(shí)檢查Cookie中的用戶名與密碼,與數(shù)據(jù)庫(kù)比較。這是一種比較危險(xiǎn)的選擇,一般不把密碼等重要信息保存到Cookie中。

還有一種方案是把密碼加密后保存到Cookie中,下次訪問時(shí)解密并與數(shù)據(jù)庫(kù)比較。這種方案略微安全一些。如果不希望保存密碼,還可以把登錄的時(shí)間戳保存到Cookie與數(shù)據(jù)庫(kù)中,到時(shí)只驗(yàn)證用戶名與登錄時(shí)間戳就可以了。

這幾種方案驗(yàn)證賬號(hào)時(shí)都要查詢數(shù)據(jù)庫(kù)。

本例將采用另一種方案,只在登錄時(shí)查詢一次數(shù)據(jù)庫(kù),以后訪問驗(yàn)證登錄信息時(shí)不再查詢數(shù)據(jù)庫(kù)。實(shí)現(xiàn)方式是把賬號(hào)按照一定的規(guī)則加密后,連同賬號(hào)一塊保存到Cookie中。下次訪問時(shí)只需要判斷賬號(hào)的加密規(guī)則是否正確即可。本例把賬號(hào)保存到名為account的Cookie中,把賬號(hào)連同密鑰用MD1算法加密后保存到名為ssid的Cookie中。驗(yàn)證時(shí)驗(yàn)證Cookie中的賬號(hào)與密鑰加密后是否與Cookie中的ssid相等。相關(guān)代碼如下:

代碼1.8 loginCookie.jsp

<%@ page language="java"pageEncoding="UTF-8" isErrorPage="false" %>

<%!                                                  // JSP方法

    private static final String KEY =":cookie@helloweenvsfei.com";
                                                     // 密鑰 

    public final static String calcMD1(Stringss) { // MD1 加密算法

       String s = ss==null ?"" : ss;                  // 若為null返回空

       char hexDigits[] = { '0','1', '2', '3', '4', '1', '6', '7', '8', '9',
       'a', 'b', 'c', 'd', 'e', 'f' };                        // 字典

       try {

        byte[] strTemp =s.getBytes();                          // 獲取字節(jié)

        MessageDigestmdTemp = MessageDigest.getInstance("MD1"); // 獲取MD1

       mdTemp.update(strTemp);                                // 更新數(shù)據(jù)

        byte[] md =mdTemp.digest();                        // 加密

        int j =md.length;                                 // 加密后的長(zhǎng)度

        char str[] = newchar[j * 2];                       // 新字符串?dāng)?shù)組

        int k =0;                                         // 計(jì)數(shù)器k

        for (int i = 0; i< j; i++) {                       // 循環(huán)輸出

         byte byte0 =md[i];

         str[k++] =hexDigits[byte0 >>> 4 & 0xf];

         str[k++] =hexDigits[byte0 & 0xf];

        }

        return newString(str);                             // 加密后字符串

       } catch (Exception e){return null; }

    }

%>

<%

   request.setCharacterEncoding("UTF-8");             // 設(shè)置request編碼

    response.setCharacterEncoding("UTF-8");        // 設(shè)置response編碼

   

    String action =request.getParameter("action"); // 獲取action參數(shù)

   

    if("login".equals(action)){                       // 如果為login動(dòng)作

        String account =request.getParameter("account");
                                                     // 獲取account參數(shù)

        String password =request.getParameter("password");


                    &

分享題目:Cookie與Session有何異同?
URL標(biāo)題:http://jinyejixie.com/news3/105103.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供域名注冊(cè)、網(wǎng)站策劃、做網(wǎng)站網(wǎng)站排名、移動(dòng)網(wǎng)站建設(shè)、網(wǎng)站設(shè)計(jì)公司

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

搜索引擎優(yōu)化
通化县| 忻城县| 洪江市| 巨鹿县| 恭城| 普兰县| 通海县| 无棣县| 林芝县| 荃湾区| 黑山县| 磐石市| 莱阳市| 忻城县| 徐闻县| 涟源市| 得荣县| 福泉市| 淮滨县| 微山县| 白城市| 高阳县| 广宁县| 潜江市| 三明市| 墨江| 辉南县| 观塘区| 开江县| 深圳市| 时尚| 新乡市| 宽城| 万州区| 巴马| 普兰店市| 通河县| 梁平县| 文山县| 岚皋县| 库尔勒市|