Cookie会话管理

会话管理1、会话管理基本原理实现会话管理的基本方式，如隐藏域（Hidden Field）、Cookie与URL重写（URL Rewriting）的实现方式。

1．使用隐藏域隐藏域就是主动告知服务器多次请求间必要信息的方式之一。

这个方法不适合用于隐密性较高的数据。

隐藏域不是Servlet／JSP实际管理会话时的机制。

2．使用CookieCookie是在浏览器存储信息的一种方式，服务器可以响应浏览器set-cookie标头，浏览器收到这个标头与数值后，会将它以文件的形式存储在计算机上，这个文件就称之为Cookie。

一个常见的应用，自动登录。

Cookie可以设定存活期限，所以在客户端存储的信息可以活得更久一些。

Servlet本身提供了创建、设置与读取Cookie的API。

如果你要创建Cookie，可以使用Cookie类，创建时指定Cookie中的名称与数值，并使用HttpServletResponse的addCookie()方法在响应中新增Cookie。

例：Cookie cookie = new Cookie(＂user＂，＂caterpillar＂)；cookie.setMaxAge(7*24*60*60)；//单位是秒response.addCookie(cookie)；HTTP中Cookie的设定是通过set-cookie标头，所以必须在实际响应浏览器之前使用addCookie()来新增Cookie实例，在浏览器输出HTML响应之后再运行addCookie()是没有作用的。

要取得浏览器上存储的Cookie，则可以从HttpServletRequest的getCookies()来取得，这可取得属于该网页所属域（Domain）的所有Cookie，返回值是Cookie[]数组。

取得Cookie对象后，可以使用Cookie的getName()与getV alue()方法，分别取得Cooke的名称与数值。

例：Cookie[] cookies = request.getCookies();if(cookies != null){for(Cookie cookie : cookies){String name = cookie.getName()；String value = cookie.getV alue()；．．．．．．．．}}在Servlet3.0中，Cookie类新增了setHttpOnly()方法，可以将Cookie标示为仅用于HTTP，这会在set-cookie标头上附和HttpOnly属性，在浏览器支持的情况下，这个Cookie将不会被客户端脚本读取，可以使用isHttpOnly()来得知一个Cookie是否被setHttpOnly()标示为仅用于HTTP。

session、cookie、token的区别及联系sessionsession的中⽂翻译是“会话”，当⽤户打开某个web应⽤时，便与web服务器产⽣⼀次session。

服务器使⽤session把⽤户的信息临时保存在了服务器上，⽤户离开⽹站后session会被销毁。

这种⽤户信息存储⽅式相对cookie来说更安全，可是session有⼀个缺陷：如果web服务器做了负载均衡，那么下⼀个操作请求到了另⼀台服务器的时候session会丢失。

cookiecookie是保存在本地终端的数据。

cookie由服务器⽣成，发送给浏览器，浏览器把cookie以kv形式保存到某个⽬录下的⽂本⽂件内，下⼀次请求同⼀⽹站时会把该cookie发送给服务器。

由于cookie是存在客户端上的，所以浏览器加⼊了⼀些限制确保cookie不会被恶意使⽤，同时不会占据太多磁盘空间，所以每个域的cookie数量是有限的。

cookie的组成有：名称(key)、值(value)、有效域(domain)、路径(域的路径，⼀般设置为全局:"\")、失效时间、安全标志(指定后，cookie 只有在使⽤SSL连接时才发送到服务器(https))。

下⾯是⼀个简单的js使⽤cookie的例⼦:⽤户登录时产⽣cookie:document.cookie = "id="+result.data['id']+"; path=/";document.cookie = "name="+result.data['name']+"; path=/";document.cookie = "avatar="+result.data['avatar']+"; path=/";使⽤到cookie时做如下解析：var cookie = document.cookie;var cookieArr = cookie.split(";");var user_info = {};for(var i = 0; i < cookieArr.length; i++) {user_info[cookieArr[i].split("=")[0]] = cookieArr[i].split("=")[1];}$('#user_name').text(user_info[' name']);$('#user_avatar').attr("src", user_info[' avatar']);$('#user_id').val(user_info[' id']);tokentoken的意思是“令牌”，是⽤户⾝份的验证⽅式，最简单的token组成:uid(⽤户唯⼀的⾝份标识)、time(当前时间的时间戳)、sign(签名，由token的前⼏位+盐以哈希算法压缩成⼀定长的⼗六进制字符串，可以防⽌恶意第三⽅拼接token请求服务器)。

前端开发中的Cookie管理和使用方法在前端开发中，Cookie是一种常见的技术，用于在用户浏览器和服务器之间传递和存储有关用户的信息。

它在帮助开发者实现用户登录状态、保存用户偏好设置和跟踪用户行为等方面发挥着重要作用。

本文将介绍Cookie的管理和使用方法，以帮助前端开发者更好地应用该技术。

一、Cookie的概念和特点Cookie是一小段存储在用户浏览器中的文本信息，由服务器生成并发送给浏览器，浏览器将其保存并在每次请求同一服务器时附加在请求头中发送给服务器。

Cookie主要具有以下几个特点：1. Cookie的大小有限制：不同浏览器对Cookie大小的限制不同，一般为4KB左右。

2. Cookie的有效期：可以通过设置Cookie的过期时间来控制Cookie的有效期，如果未设置过期时间，则Cookie默认会话级别，即关闭浏览器后即失效。

3. Cookie的域和路径：可以通过设置Cookie的域和路径来限制Cookie的作用范围，仅对指定的域名和路径有效。

4. Cookie的安全性：Cookie中存储的信息是明文传输的，因此敏感信息不宜存储在Cookie中。

二、Cookie的创建和读取要在前端开发中使用Cookie，首先需要创建Cookie并将其发送给浏览器。

可以使用以下代码创建Cookie：```javascriptdocument.cookie = "key=value; expires=Sat, 31 Dec 2022 23:59:59 GMT; path=/";```该代码将创建一个名为"key"，值为"value"，过期时间为2022年12月31日23:59:59的Cookie，并将其保存在浏览器中。

要读取Cookie的值，可以使用以下代码：```javascriptvar cookieValue = document.cookie;```以上代码将返回一个字符串，包含所有已保存在浏览器中的Cookie。

sess函数sess函数是一种在Web开发中广泛使用的会话管理工具。

它可以帮助开发者在不同的页面之间共享数据，从而实现更加灵活和高效的应用程序。

在本文中，我们将介绍sess函数的基本原理和使用方法，以及它在实际开发中的应用场景。

sess函数是一种基于cookie的会话管理工具。

它的基本原理是在客户端（浏览器）和服务器之间建立一个会话，通过cookie来维护会话状态。

当用户访问网站时，服务器会生成一个唯一的会话ID，并将其存储在cookie中。

在后续的访问中，浏览器会将该cookie 发送给服务器，服务器通过会话ID来识别用户，并在会话中存储用户的数据。

sess函数的使用方法sess函数的使用非常简单。

首先，需要在服务器端安装sess模块。

然后，在代码中引入sess模块，并使用sess函数来创建一个会话。

例如：```var sess = require('sess');var session = sess.createSession();```创建会话后，可以使用session对象来存储和获取数据。

例如：```session.put('username', '张三');var username = session.get('username');```在上面的例子中，我们使用put方法将用户名存储在会话中，然后使用get方法获取用户名。

sess函数还提供了其他一些方法，例如remove、clear等，用于删除或清空会话中的数据。

sess函数的应用场景sess函数在Web开发中有很多应用场景。

其中最常见的是用户登录和购物车功能。

在用户登录时，可以使用sess函数来存储用户的登录状态，以便在后续的访问中识别用户并提供个性化的服务。

在购物车功能中，可以使用sess函数来存储用户的购物车信息，以便在用户下单时获取购物车中的商品信息。

除了上述应用场景外，sess函数还可以用于实现其他一些功能，例如：1. 记录用户的浏览历史，以便在用户下次访问时提供相关的推荐内容。

三种保持会话的⽅式（⼀）session机制保持会话使⽤⽅法可以看存在的问题⾼并发情况下，会占⽤服务器⼤量内存分布式（⼀个业务分成⼏个⼦业务，部署在多个服务器）或者集群（⼀个业务部署在多个服务器）的时候，session不能共享。

解决⽅案⾼并发的时候可以将session存储到redis，如果⽤户长时间没有访问，将session存储到redis，就减少了服务器的压⼒。

分布式或者集群的时候，先通过redis来判断⽤户状态也可以实现session共享.（⼆）cookie机制保持会话使⽤的⽅法登录验证后，创建登录凭证（⽐如：⽤户id+登录时间+过期时间），将登录凭证进⾏加密（为了避免暴露信息），加密后写到浏览器的cookie，以后，每次请求都发送cookie，服务器根据对应的解密算法对其进⾏验证（或者将加密过的cookie内容存储到数据库，请求服务器的时候，服务器在数据库进⾏查找）。

存在的问题每次访问都提交cookie，增加请求量其他访问可能需要cookie（⽐如说购物车的信息存放在cookie），浏览器对每个域存储的cookie的⼤⼩有限制，那么需要控制加密后的凭证。

（三）token机制保持会话使⽤⽅法cookie 和session依赖于浏览器，如果客户端不是浏览器，那么需要⼿动添加token（和cookie类似，也是登录凭证），将token添加到http header或者做为参数添加到url。

存在的问题每次访问的时候⼿动添加token和cookie 的⽅式⼀样增加了请求量总结不同的⽅式适合不同的应⽤场景，视情况使⽤。

相同点所有的⽅式⽬的都是为了验证⽤户状态。

都需要在客户端存储凭证。

不同点第⼀种是通过是通过空间换时间，消耗内存存储session对象，但是判断⽤户状态不⽤复杂的逻辑。

第⼆种第三种⽤时间换空间，在服务器端逻辑处理进⾏判断⽤户状态。

Cookie的两种类型Cookie的两种类型
1，临时Cookie（会话Cookie）
2，永久Cookie
不设置过期时间，则表⽰这个cookie⽣命周期为浏览器会话期间，只要关闭浏览器窗⼝，cookie就消失了。

这种⽣命期为浏览会话期的cookie被称为会话cookie。

会话cookie⼀般不保存在硬盘上⽽是保存在内存⾥。

设置了过期时间，浏览器就会把cookie保存到硬盘上，
关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。

存储在硬盘上的cookie可以在不同的浏览器进程间共享，⽐如两个IE窗⼝。

⽽对于保存在内存的cookie，不同的浏览器有不同的处理⽅式。

特别注意:之前的⼀个错误认知：
Ps:
cookie过期时间为0，马上过期，即会话，并⾮真的马上失效，浏览器关闭才失效。

当然cookie的有效性还得服务端检查。

Shiro配置cookie以及共享Session和Session失效问题⾸先我们看Shiro的会话管理器的配置<!-- shiro会话管理 --><!-- 即⽤户登录后就是⼀次会话，在没有退出之前，它的所有信息都在会话中；会话可以是普通 JavaSE 环境的，也可以是如 Web 环境的 --><bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager"><property name="cacheManager" ref="redisCacheManager"/><property name="sessionDAO" ref="redisSessionDAO"/><!-- <property name="sessionIdCookie" ref="simpleCookie"/> --><!-- 全局的会话信息时间,,单位为毫秒 --><property name="globalSessionTimeout" value="1800000"/><!-- 检测扫描信息时间间隔,单位为毫秒--><property name="sessionValidationInterval" value="60000"/><!-- 是否开启扫描 --><property name="sessionValidationSchedulerEnabled" value="false"/><!-- 去掉URL中的JSESSIONID --><property name="sessionIdUrlRewritingEnabled" value="true"/></bean>这⾥是使⽤DefaultWebSessionManager默认的Cookie配置部分源代码public class DefaultWebSessionManager extends DefaultSessionManager implements WebSessionManager {private static final Logger log = LoggerFactory.getLogger(DefaultWebSessionManager.class);private Cookie sessionIdCookie;private boolean sessionIdCookieEnabled;private boolean sessionIdUrlRewritingEnabled;public DefaultWebSessionManager() {Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);cookie.setHttpOnly(true); //more secure, protects against XSS attacksthis.sessionIdCookie = cookie;this.sessionIdCookieEnabled = true;this.sessionIdUrlRewritingEnabled = true;}}这⾥可以看出Cookie cookie = new SimpleCookie(ShiroHttpSession.DEFAULT_SESSION_ID_NAME);内部默认创建了⼀个Cookie。