cookie

0

问题

HTTP协议是一种无状态的协议,Web服务器本身不能识别出哪些请求是同一个浏览器发出的,浏览器的每一次请求都是完全孤立的。
web服务器怎么唯一地标识一个用户,并记录该用户的状态?

会话与状态管理

会话指一个客户端与web服务器之间连续发生的一系列请求和响应过程。(就像把电话拿起到最后挂断)。
会话状态指web服务器与浏览器在会话过程中产生的状态信息,借助会话状态,web服务器把属于同一会话中的一系列请求和响应过程关联起来。

web服务器要从大量的请求消息中区分出哪些请求属于同一会话,即能识别出来自同一个浏览器的访问请求,这需要浏览器对其发出的每个请求消息都进行标识:属于同一个会话中的请求消息都附带同样的标识号,属于不同会话的请求消息附带不同的标识号,这个标识号就称为会话ID。

servlet规范中,有两种机制完成会话跟踪:
cookiesession

cookie

是客户端保持HTTP状态信息的一种方案。
浏览器访问web服务器的某个资源时,由web服务器在HTTP响应消息头中附带传送给浏览器的一个小文本文件(Set-Cookie响应头字段)。如:

Set-Cookie: bid=8UKoeCtJT1M; Expires=Sat, 25-Apr-20 04:02:11 GMT; Domain=.douban.com; Path=/

一旦web浏览器保存了某个cookie,那么它在以后每次访问该web浏览器时都会在HTTP请求头中(Cookie请求头字段)将这个cookie回传给web服务器。如:

Cookie: bid=8UKoeCtJT1M;

如果浏览器不支持Cookie(如大部分手机中的浏览器)或者把Cookie禁用了,Cookie功能就会失效。
不同的浏览器采用不同的方式保存Cookie。
IE浏览器会在C:\Documents and Settings\你的用户名\Cookies文件夹下以文本文件形式保存,一个文本文件保存一个Cookie。

创建cookie

httpServletResponse.addCookie(cookie);
该方法并不修改之前的Set-Cookie报头,而是创建新的报头。

一个web站点可以给一个web浏览器发送多个cookie,一个浏览器也能存储多个web站点提供的cookie(每个站点最多存放20个)。一个cookie(大小限制为4kb)只能标识一种信息,它至 少含有一个标识该信息的k-v。

Cookie的值。如果值为Unicode字符,需要为字符编码。如果值为二进制数据,则需要使用BASE64编码。

获取cookie

httpServletRequest.getCookies()
读取所有cookie返回数组,遍历通过cookie.getName()筛选出自己要的(new Cookie()时的第一个参数)。

修改cookies

如果要修改某个Cookie,只需要新建一个同名的Cookie,添加到response中覆盖原来的Cookie。

注意:修改、删除Cookie时,新建的Cookie除value、maxAge之外的所有属性,例如name、path、domain等,都要与原Cookie完全一样。否则,浏览器将视为两个不同的Cookie不予覆盖,导致修改、删除失败。

cookie属性设置

setMaxAge()

cookie的时效性:
默认情况下新建的cookie是一个会话级别的cookie(会话cookie),存储在浏览器内存中,用户关闭浏览器后被删除。

若希望浏览器将该cookie存储在磁盘上(持久cookie),需要使用maxAge,并给出一个以秒为单位的时间。
如果为负数,该Cookie为临时Cookie,关闭浏览器即失效,浏览器也不会以任何形式保存该Cookie。这种cookie直到超过设定的过期时间才被删除。如果为0,表示删除该Cookie。默认为–1。

setPath()

cookie的作用范围:
默认是当前目录以及子目录,不能作用于上一级目录。
可以自己设置cookie的作用范围:
setPath(request.getContextPath)
“/”表示站点的根目录,如果设置为“/”,则本域名下contextPath都可以访问该Cookie。

setDomain()

Cookie是不可跨域名的。域名www.google.com颁发的Cookie不会被提交到域名www.baidu.com去。这是由Cookie的隐私安全机制决定的。隐私安全机制能够禁止网站非法获取其他网站的Cookie。

正常情况下,同一个一级域名下的两个二级域名如www.baidu.com和images.baidu.com也不能交互使用Cookie,因为二者的域名并不严格相同。如果想所有baidu.com名下的二级域名都可以使用该Cookie,需要设置Cookie的domain参数为.baidu.com。

可以修改本机hosts文件来配置多个临时域名来验证domain属性。

注意:domain参数必须以点(".")开始。另外,name相同但domain不同的两个Cookie是两个不同的Cookie。如果想要两个域名完全不同的网站共有Cookie,可以生成两个Cookie,domain属性分别为两个域名,输出到客户端。

setSecure()

HTTP协议不仅是无状态的,而且是不安全的。使用HTTP协议的数据不经过任何加密就直接在网络上传播,有被截获的可能。使用HTTP协议传输很机密的内容是一种隐患。如果不希望Cookie在HTTP等非安全协议中传输,可以设置Cookie的secure属性为true。浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。设置secure属性为true的代码是cookie.setSecure(true);

secure属性并不能对Cookie内容加密,因而不能保证绝对的安全性。如果需要高安全性,需要在程序中对Cookie内容加密(不可逆加密的)、解密,以防泄密。

其他属性

expires:失效时间,表示cookie何时应该被删除的时间戳(也就是,何时应该停止向服务器发送这个cookie)。如果不设置这个时间戳,浏览器会在页面关闭时即将删除所有cookie;不过也可以自己设置删除时间。这个值是GMT时间格式,如果客户端和服务器端时间不一致,使用expires就会存在偏差。

HttpOnly: 告知浏览器不允许通过脚本document.cookie去更改这个值,同样这个值在document.cookie中也不可见。但在http请求张仍然会携带这个cookie。注意这个值虽然在脚本中不可获取,但仍然在浏览器安装目录中以文件形式存在。这项设置通常在服务器端设置。

应用场景

自动登入

购物车,最近浏览过的商品

你可能感兴趣的

载入中...