- 在Javascript中操作Cookie:
< script >
// 设置Cookie
function setCookie(va){
var expires = new Date();
expires.setTime(expires.getTime() + 12 * 30 * 24 * 60 * 60 * 1000 );
/* 一年 x 一个月当作 30 天 x 一天 24 小时
x 一小时 60 分 x 一分 60 秒 x 一秒 1000 毫秒 */
document.cookie = va + ';expires = ' + expires.toGMTString();
}
// 读取Cookie
function readCookie(name){
var cookieValue = "" ;
var search = name + " = " ;
if (document.cookie.length > 0 ) {
offset = document.cookie.indexOf(search);
if (offset != - 1 ) {
offset += search.length;
end = document.cookie.indexOf( " ; " , offset);
if (end == - 1 ) end = document.cookie.length;
cookieValue = unescape(document.cookie.substring(offset, end))
}
}
return cookieValue;
}
setCookie( " user=123 " );
alert(readCookie('user'));
</ script >
-
在Servlet中操作Cookie:
a. 要把Cookie发送到客户端,Servlet先要调用new Cookie(name,value)用合适的名字和值创建一个或多个 Cookie,通过cookie.setXXX设置各种属性,通过response.addCookie(cookie)把cookie加入应答头。
b. 要从客户端读入Cookie,Servlet应该调用request.getCookies (),getCookies()方法返回一个Cookie对象的数组。在大多数情况下,你只需要用循环访问该数组的各个元素寻找指定名字的Cookie,然后对该Cookie调用getValue方法取得与指定名字关联的值。
c. 创建Cookie
调用Cookie对象的构造函数可以创建Cookie。Cookie对象的构造函数有两个字符串参数:Cookie名字和 Cookie值。名字和值都不能包含空白字符以及下列字符:
[ ] ( ) = , " / ? @ : ;
d. 读取和设置Cookie属性
把Cookie加入待发送的应答头之前,你可以查看或设置Cookie的各种属性。下面摘要介绍这些方法:
getComment/setComment
获取/设置Cookie的注释。
getDomain/setDomain
获取/设置Cookie适用的域。一般地,Cookie只返回给与发送它的服务器名字完全相同的服务器。使用这里的方法可以指示浏览器把Cookie返回给同一域内的其他服务器。注意域必须以点开始(例如.sitename.com),非国家类的域(如.com,.edu,.gov)必须包含两个点,国家类的域(如.com.cn,.edu.uk)必须包含三个点。
getMaxAge/setMaxAge
获取/设置Cookie过期之前的时间,以秒计。如果不设置该值,则Cookie只在当前会话内有效,即在用户关闭浏览器之前有效,而且这些Cookie不会保存到磁盘上。参见下面有关LongLivedCookie的说明。
getName/setName
获取/设置Cookie的名字。本质上,名字和值是我们始终关心的两个部分。由于HttpServletRequest的getCookies方法返回的是一个Cookie对象的数组,因此通常要用循环来访问这个数组查找特定名字,然后用getValue检查它的值。
getPath/setPath
获取/设置Cookie适用的路径。如果不指定路径,Cookie将返回给当前页面所在目录及其子目录下的所有页面。这里的方法可以用来设定一些更一般的条件。例如,someCookie.setPath("/"),此时服务器上的所有页面都可以接收到该Cookie。
getSecure/setSecure
获取/设置一个boolean值,该值表示是否Cookie只能通过加密的连接(即SSL)发送。
getValue/setValue
获取/设置Cookie的值。如前所述,名字和值实际上是我们始终关心的两个方面。不过也有一些例外情况,比如把名字作为逻辑标记(也就是说,如果名字存在,则表示true)。
getVersion/setVersion
获取/设置Cookie所遵从的协议版本。默认版本0(遵从原先的Netscape规范);版本1遵从RFC 2109 , 但尚未得到广泛的支持。
e. 在应答头中设置Cookie
Cookie可以通过HttpServletResponse的addCookie方法加入到Set-Cookie应答头。下面是一个例子:
Cookie userCookie = new Cookie( " user " , " uid1234 " );
response.addCookie(userCookie);
f. 读取保存到客户端的Cookie
要把Cookie发送到客户端,先要创建Cookie,然后用addCookie发送一个Set-Cookie HTTP应答头。这些内容已经在上面的2.1节介绍。从客户端读取Cookie时调用的是HttpServletRequest的getCookies方法。该方法返回一个与HTTP请求头中的内容对应的Cookie对象数组。得到这个数组之后,一般是用循环访问其中的各个元素,调用getName检查各个Cookie的名字,直至找到目标Cookie。然后对这个目标Cookie调用getValue,根据获得的结果进行其他处理。
上述处理过程经常会遇到,为方便计下面我们提供一个getCookieValue方法。只要给出Cookie对象数组、Cookie名字和默认值, getCookieValue方法就会返回匹配指定名字的Cookie值,如果找不到指定Cookie,则返回默认值。
获取指定名字的Cookie值
public static String getCookieValue(Cookie[] cookies,
String cookieName,String defaultValue) {
for(int i=0; i<cookies.length; i++) {
Cookie cookie = cookies[i];
if (cookieName.equals(cookie.getName())) {
return(cookie.getValue());
}
}
return(defaultValue);
}
3. 理解Session机制-转自Sumongh Zone
session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。
当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为 session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个 session id将被在本次响应中返回给客户端保存。
保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于SEEESIONID,而。比如weblogic对于web应用程序生成的cookie,JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,它的名字就是 JSESSIONID。
由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做 URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为 http://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一种是作为查询字符串附加在URL后面,表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
这两种方式对于用户来说是没有区别的,只是服务器在解析的时候处理的方式不同,采用第一种方式也有利于把session id的信息和正常程序参数区分开来。
为了在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。
另一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如下面的表单
<form name="testform" action="/xxx">
<input type="text">
</form>
在被传递给客户端之前将被改写成
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>
这种技术现在已较少应用,笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。
实际上这种技术可以简单的用对action应用URL重写来代替。
在谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家提出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个 session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。
恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。
4. cookie与session的区别和联系-转载自http://sumongh.iteye.com/blog/82498
在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:
< % cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
doStuffForNewbie();
//没有访问过
}
else
{
doStuffForReturnVisitor(); //已经访问过了
}
% >
这是很浅显易懂的道理,检测COOKIE的存在,如果存在说明已经运行过写入COOKIE的代码了,然而运行以上的代码后,无论何时结果都是执行 doStuffForReturnVisitor(),通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件,奇怪,代码明明没有问题,不过既然有cookie,那就显示出来看看。
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}
else
{
for (int i = 0; i < cookie.length; i++)
{
out.println("cookie name:" + cookies[i].getName() + "cookie value:" +
cookie[i].getValue());
}
}
运行结果:
cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6
为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过 SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为 JSESSIONID的输出cookie,我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的,并不是写到硬盘上的,这也就是我们刚才看到的JSESSIONID,我们通常情是看不到JSESSIONID的,但是当我们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,我们就可以在地址栏看到 sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理,我们就可以很容易的分辨出persistent cookies和session cookie的区别了,网上那些关于两者安全性的讨论也就一目了然了,session cookie针对某一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本(通常是加密的),而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击,自然不如 session cookie安全了。
通常session cookie是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样我们信息共享的目的就达不到了,此时我们可以先把sessionid保存在persistent cookie中,然后在新窗口中读出来,就可以得到上一个窗口SessionID了,这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking(会话跟踪)。
在一些web开发的书中,往往只是简单的把Session和cookie作为两种并列的http传送信息的方式,session cookies位于服务器端,persistent cookie位于客户端,可是session又是以cookie为基础的,明白的两者之间的联系和区别,我们就不难选择合适的技术来开发web service了。
分享到:
相关推荐
在现代Web应用开发中,理解和掌握会话管理和用户认证是至关重要的。本实验旨在通过一系列实际操作来帮助学生熟悉J2EE环境下Session和Cookie的工作原理及其使用方法。通过本实验的学习,学生将能够: 1. **理解Web...
JSP(JavaServer Pages)是J2EE中的视图层技术,它允许开发人员在HTML页面中嵌入Java代码,使得动态内容的生成更为简单。JSP文件会被编译成Servlet执行,JSP生命周期包括解析、编译、初始化、服务和销毁五个阶段。...
系统可能使用session或cookie来临时保存购物车信息,并在用户提交订单时进行库存检查、价格计算和生成订单记录。 8. **搜索功能**:网上书店通常提供图书搜索功能,这可能需要实现全文搜索或基于关键字的查询,涉及...
在J2EE项目开发中,理解并掌握J2EE架构及其相关技术是非常关键的。J2EE应用程序通常由四层结构组成,分别是客户层、应用层、表示逻辑层和企业信息系统层。客户层主要负责与用户的交互,应用层处理业务逻辑,表示逻辑...
在J2EE项目的开发中,构建高效的开发团队至关重要。J2EE应用模型允许并发开发,因此需要明确各层次设计人员和开发人员的技术职责。以下是针对各个团队角色的详细描述: **设计师** 设计师,有时被称为总工程师,是...
165 10.1.1 JavaBean的特点 166 10.1.2 JavaBean的元素及属性 167 10.1.3 JavaBean的分类 168 10.2 创建JavaBean 168 10.2.1 JavaBean的规格说明 168 10.2.2 创建一个简单的JavaBean 168 10.3 在JSP中使用JavaBean ...
在J2EE环境中,开发者可以利用多种组件模型来构建复杂的应用程序,如Servlets、JSP、EJB等。 #### 二、B/S概念与Servlet开发基础 ##### B/S架构简介 B/S(Browser/Server,浏览器/服务器)是一种网络架构模式,...
在J2EE(Java 2 Platform, Enterprise Edition)项目中,开发团队的组建是一项至关重要的工作,它直接关系到项目的成功与否。J2EE作为一套企业级应用开发框架,涉及了多个技术层面,包括Web层、业务逻辑层、数据访问...
在J2EE中,**Session**和**Cookie**是两种非常重要的用户会话管理技术,它们用来在服务器和客户端之间持久化数据,尤其是在用户浏览网站时保持用户的登录状态和其他相关信息。 **1. Session技术** Session是服务器...
8. **Session和Cookie管理**:在Web开发中,session和cookie常用于用户会话管理。本项目可能涉及到如何存储和检索用户状态信息。 9. **EJB(Enterprise JavaBeans)**:虽然现代J2EE应用更多倾向于轻量级框架,如...
【基于J2EE框架开发的博客管理系统】是一个典型的Web应用程序,使用Java企业版(Java 2 Platform, Enterprise Edition,简称J2EE)技术构建。J2EE是一个多层架构平台,用于开发和部署分布式、面向服务的Web应用,...
【基于J2EE实现的商品管理系统】是一个典型的...这个项目为初学者提供了一个全面了解J2EE开发流程的机会,包括需求分析、设计、编码、测试和部署等环节。通过实际操作,可以更好地掌握Web开发的核心技术和最佳实践。
数据库方面,由于描述中提到了“附加数据库”,我们可以推断项目中使用了SQL(Structured Query Language)来管理和操作数据。在J2EE中,一般会使用JDBC(Java Database Connectivity)API来连接和交互数据库。可能...
J2EE考试复习材料总结 J2EE(Java 2 Platform, Enterprise Edition)是Sun Microsystems公司推出的Java...我们可以编写一个简单的JavaBean DatabaseBean.java来连接数据库,并在JSP页面中使用它来显示是否连接成功。
在这个"J2EE网上停车场"项目中,我们主要探讨的是如何利用J2EE技术实现一个在线的停车管理系统。 首先,数据库选择是MySQL,这是一款开源、免费的关系型数据库管理系统,具有高性能、易用性和高可扩展性。在J2EE...
1. **Session**:服务器为每个用户创建一个唯一的Session ID,存储在用户的Cookie中,使得服务器能够识别并跟踪用户会话。 2. **Cookie**:服务器通过设置Cookie在客户端存储信息,但Cookie的大小有限制,且可以被...
在信息技术领域,构建一个在线聊天系统是常见的应用场景,尤其是在Web开发中。本文将围绕“J2EE在线聊天系统”进行深入解析,该系统实现了基本的登录控制、用户注册以及在线聊天功能,涵盖了Java J2EE技术栈的核心...
根据给定的文件信息,我们可以总结出一系列关于J2EE的重要知识点,涵盖容器服务、数据库连接管理、组件部署、Web...以上知识点覆盖了J2EE体系结构中的多个核心概念和技术细节,对于深入理解J2EE开发模式具有重要意义。
在开发中,Value Object常用于减少数据在不同组件间传递时的错误,确保数据的一致性。 接着,我们深入了解一下JSP(JavaServer Pages)的基础知识。JSP是一种动态网页技术,它允许开发者将HTML、XML或其他标记语言...