HTTP会话技术---Cookie、Session和Token介绍及它们在JavaWeb中的使用

当涉及到Web应用程序的身份验证和状态管理时,我们通常会使用到Cookie、Session和Token这些会话技术。下面是对它们的介绍,并在JavaWeb中的示例

Cookie(HTTP Cookie)

Cookie是一种存储在用户浏览器中的小型文本文件,由服务器发送给浏览器,然后浏览器在后续请求中将其包含在HTTP头中发送回服务器。Cookie通常用于跟踪用户的会话状态、存储用户偏好设置等。

Cookie的工作流程

  • 服务端提供了两个Servlet,分别是ServletA和ServletB

  • 浏览器发送HTTP请求1给服务端,服务端ServletA接收请求并进行业务处理

  • 服务端ServletA在处理的过程中可以创建一个Cookie对象并将name=zs的数据存入Cookie

  • 服务端ServletA在响应数据的时候,会把Cookie对象响应给浏览器

  • 浏览器接收到响应数据,会把Cookie对象中的数据存储在浏览器内存中,此时浏览器和服务端就建立了一次会话

  • 同一次会话中浏览器再次发送HTTP请求2给服务端ServletB,浏览器会携带Cookie对象中的所有数据

  • ServletB接收到请求和数据后,就可以获取到存储在Cookie对象中的数据,这样同一个会话中的多次请求之间就实现了数据共享

在Java中使用Cookie,可以使用javax.servlet.http.Cookie类进行操作。以下是使用Cookie的简单示例:

Cookie cookie = new Cookie("username", "john");
cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时
response.addCookie(cookie); // 将Cookie添加到响应中// 从请求中获取Cookie
Cookie[] cookies = request.getCookies();
if (cookies != null) {for (Cookie cookie : cookies) {if (cookie.getName().equals("username")) {String username = cookie.getValue();// 处理用户名}}
}

在spring中的使用,以登陆为例,在Controller层,Cookie常用于存储和获取用户的身份信息或其他状态信息。当用户进行登录时,Controller可以将用户的身份信息存储在Cookie中,并在后续请求中读取该Cookie来验证用户身份。:

// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,@RequestParam("password") String password,HttpServletResponse response) {// 验证用户名和密码if (authenticate(username, password)) {// 登录成功,创建Cookie并设置相关信息Cookie cookie = new Cookie("username", username);cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时response.addCookie(cookie);return "redirect:/home";} else {// 登录失败return "redirect:/login";}
}// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpServletRequest request) {// 从请求中获取CookieCookie[] cookies = request.getCookies();if (cookies != null) {for (Cookie cookie : cookies) {if (cookie.getName().equals("username")) {String username = cookie.getValue();// 处理用户身份return "profile";}}}// 用户未登录,跳转到登录页return "redirect:/login";
}

Session(会话)

Session是一种在服务器端存储用户状态信息的机制。当用户访问Web应用程序时,服务器会为每个用户创建一个唯一的会话,并为该会话分配一个唯一的标识符(Session ID)。服务器使用该标识符来识别特定的用户会话并存储相关数据。

Session的工作流程

  • 在服务端的AServlet获取一个Session对象,把数据存入其中

  • 在服务端的BServlet获取到相同的Session对象,从中取出数据

  • 就可以实现一次会话中多次请求之间的数据共享了

在Java中,可以使用javax.servlet.http.HttpSession接口来管理会话对象。以下是使用Session的示例:

// 创建或获取会话对象
HttpSession session = request.getSession();// 在会话中存储数据
session.setAttribute("username", "john");// 从会话中获取数据
String username = (String) session.getAttribute("username");

在Controller层,Session通常用于存储和获取用户的会话状态信息。当用户进行登录时,Controller可以在Session中存储用户的身份信息或其他相关数据,在后续的请求中使用该Session来验证用户身份和获取用户信息:

// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,@RequestParam("password") String password,HttpSession session) {// 验证用户名和密码if (authenticate(username, password)) {// 登录成功,将用户信息存储在Session中session.setAttribute("username", username);return "redirect:/home";} else {// 登录失败return "redirect:/login";}
}// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpSession session) {// 从Session中获取用户信息String username = (String) session.getAttribute("username");if (username != null) {// 处理用户身份return "profile";}// 用户未登录,跳转到登录页return "redirect:/login";
}

Token(令牌)

Token是一种无状态的身份验证机制,用于验证客户端的身份。服务器在用户进行身份验证后,生成一个包含用户信息的令牌,并将其发送给客户端。客户端在后续请求中将令牌包含在请求头中发送给服务器,服务器通过验证令牌来确认用户的身份。

在Java中,可以使用JSON Web Token(JWT)库来生成和验证令牌。使用JWT:

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;// 生成令牌
String secretKey = "yourSecretKey";
String token = Jwts.builder().setSubject("john").setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间为1小时.signWith(SignatureAlgorithm.HS512, secretKey).compact();
request.setHeader("token",token);// 验证令牌
Claims claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody();
String username = claims.getSubject();

在Controller层,Token常用于进行API身份验证。当客户端通过API请求访问受保护的资源时,Controller可以验证传递的Token,从中提取用户身份信息,并根据验证结果进行相应的处理。

// API请求处理
@RequestMapping("/api/profile")
public ResponseEntity<?> getProfile(@RequestHeader("Authorization") String token) {// 验证Tokenif (validateToken(token)) {String username = extractUsernameFromToken(token);// 处理用户身份UserProfile userProfile = getUserProfile(username);return ResponseEntity.ok(userProfile);} else {return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();}
}

大概就是这么个使用法的 ,下面是八股文,它们的区别:

  1. 存储位置:

    • Cookie:Cookie是存储在客户端(浏览器)中的小型文本文件,通过设置响应头将Cookie发送给客户端,客户端将Cookie存储在本地。
    • Session:Session是存储在服务器端的数据结构,通常以键值对的形式存储在服务器内存或持久化存储中。
  2. 数据存储方式:

    • Cookie:Cookie以文本形式存储,可以存储有限大小的数据,一般不超过4KB。
    • Session:Session可以存储更大的数据,因为它是在服务器端进行存储的,通常没有明确的大小限制。
  3. 安全性:

    • Cookie:Cookie存储在客户端,因此可以被篡改或窃取,存在一定的安全风险。为了增加安全性,可以对Cookie进行加密或使用安全标记(Secure Flag)来限制只在HTTPS连接中传输。
    • Session:Session存储在服务器端,客户端无法直接访问和修改Session数据,相对来说更安全一些。但仍需注意保护Session ID,以防止会话劫持攻击。
  4. 生命周期:

    • Cookie:Cookie可以设置过期时间,可以是会话Cookie(在浏览器关闭时删除)或持久Cookie(在指定的过期时间之后删除)。
    • Session:Session的生命周期由服务器管理,通常在用户会话开始时创建,在一定时间内保持活动状态,或者在用户注销或超时后销毁。
  5. 跨域支持:

    • Cookie:Cookie在同一域名下的不同路径之间共享,但在不同域名之间不能共享。
    • Session:Session默认在同一域名下共享,但可以通过其他机制实现跨域共享。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/199949.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

python import 顺序以及自动实现import 顺序更改

核心风格: import 语句的模块顺序 我们推荐所有的模块在 Python 模块的开头部分导入。 而且最好按照这样的顺序: 1. Python 标准库模块 2. Python 第三方模块 3. 应用程序自定义模块 Isort 自动整理 import 的超实用工具教程-CSDN博客 使用isort实现import的自动排序 1.安装…

基于Springboot的在线问卷调查系统(有报告)。Javaee项目,springboot项目。

演示视频&#xff1a; 基于Springboot的在线问卷调查系统(有报告)。Javaee项目&#xff0c;springboot项目。 项目介绍&#xff1a; 采用M&#xff08;model&#xff09;V&#xff08;view&#xff09;C&#xff08;controller&#xff09;三层体系结构&#xff0c;通过Spring…

1-4节电池升降压充电IC解决方案

描述 MP2760是一款集成窄电压DC&#xff08;NVDC&#xff09;电源路径管理功能和USB On-the-Go(OTG)功能的升降压充电IC&#xff0c;兼容USB PD&#xff0c;适用于单节至4节串联的电池包应用。该芯片的充电输入电压范围广&#xff0c;可支持最高22V。 当启用电池放电模式&…

深入学习Synchronized各种使用方法

文章目录 前言一、synchronized关键字通用在下面四个地方&#xff1a;1.1synchronized修饰实例方法1.2synchronized修饰静态方法&#xff1a;1.3synchronized修饰实例方法的代码块1.4synchronized修饰静态方法的代码块2.读入数据 二.Sychronized关键特性2.1互斥2.2 刷新内存2.3…

CentOS 7 虚拟机java项目部署tomcat

首先安装java环境 下载安装包:jdk-19_linux-x64_bin.tar.gz_免费高速下载|百度网盘-分享无限制 (baidu.com) 将安装包上传到虚拟机 解压 tar zxvf jdk-19_linux-x64_bin.tar.gz 移动文件到 mv jdk-19.0.1 /usr/jdk-19.0.1 编辑配置文件 vim /etc/profile export JAVA…

selenium原理

selenium执行条件 1、测试脚本。可以是python、java等语言编写的测试脚本&#xff1b; 2、浏览器驱动&#xff08;webdriver&#xff09;。不同的版本、不同的浏览器都需要对应的驱动&#xff1b; 3、浏览器 测试脚本 执行原理 1、cmd命令&#xff0c;启动chromedriver.exe…

SAP-PP:PP顾问管理系统的相关建议

本博客将探讨生产计划领域的控制要点。这将有助于减少仓库库存不准确情况&#xff0c;因为库存不准确会导致实物库存、发货、成本核算和计划方面出现许多效率低下的问题。 在物料主数据关键字段中&#xff0c;必须配置计划交货时间、GR处理时间、内部生产时间、计划交货时间&a…

解决cad找不到msvcr100.dll的有效方法,完美修复dll问题

在计算机使用过程中&#xff0c;我们经常会遇到一些错误提示&#xff0c;其中之一就是由于找不到msvcr100.dll文件而导致CAD软件无法正常运行的情况&#xff0c;系统无法找到所需的动态链接库文件。但是通过一些简单的解决方法&#xff0c;我们可以快速解决这个问题并继续我们的…

【动态规划】LeetCode-62.不同路径

&#x1f388;算法那些事专栏说明&#xff1a;这是一个记录刷题日常的专栏&#xff0c;每个文章标题前都会写明这道题使用的算法。专栏每日计划至少更新1道题目&#xff0c;在这立下Flag&#x1f6a9; &#x1f3e0;个人主页&#xff1a;Jammingpro &#x1f4d5;专栏链接&…

java -jar后台启动jar包

Linux系统启动&#xff08;后台&#xff09; nohup java -jar springboot-0.0.1-SNAPSHOT.jar & 查看日志 tail -500f nohup.out 查看进程号 ps -ef | grep java 关闭 kill -9 [进程号] Windows系统 java -jar springboot-0.0.1-SNAPSHOT.jar & Ctrlc或者关…

Flink之复杂事件处理CEP

复杂事件处理CEP Flink CEP基本使用添加依赖定义匹配模式定义匹配结果验证 模式Pattern API单个模式量词条件 组合模式跳过策略模式组匹配结果 应用示例自定义消息事件自定义Pattern测试 Flink CEP Flink的CEP (Complex Event Processing) 是指Flink提供的一种用于处理复杂事件…

ubuntu1804安装jupyter中的js环境

参考&#xff1a; https://github.com/n-riesco/ijavascript http://n-riesco.github.io/ijavascript/#installation https://github.com/n-riesco/ijavascript/issues/241 https://www.tomche.space/post/using-javascript-kernel-in-vscode-jupyter-notebooks/ https://w…

淘宝商品详情接口在电商运营中的应用实例

一、背景 某电商企业A在运营过程中&#xff0c;发现手动更新商品信息效率低下&#xff0c;且容易出现信息不一致的情况。为了解决这个问题&#xff0c;企业A决定采用淘宝商品详情接口&#xff0c;实现商品信息的自动获取和更新。 二、目标 通过集成淘宝商品详情接口&#xf…

HNU-计算机网络-讨论课2

第二次 有关网络智能、安全以及未来网络的讨论 一、必选问题&#xff08;每组自由选择N个&#xff0c;保证组内每人负责1个&#xff09; 网络的发展促进信息的传播&#xff0c;极大提高了人类的感知能力&#xff0c;整个世界都被纳入人类的感知范围。但人们对信息系统以及数据…

手持式安卓主板_PDA安卓板_智能手持终端方案

手持式安卓主板方案是一种智能终端设备&#xff0c;具备自动对焦和闪光灯功能&#xff0c;可以在昏暗的环境下快速扫描二维码并轻松采集数据。该方案还提供多渠道支付和数据采集功能&#xff0c;为用户提供了便捷的体验。 该方案的产品基于手持式安卓主板&#xff0c;并搭载了八…

海南省某部队实现资产管理和IP地址管理

在快速发展的网络环境中&#xff0c;如何有效管理资产和IP地址已成为众多组织面临的挑战。海南省某部队&#xff0c;作为一个肩负重要使命的单位&#xff0c;对此有着更为迫切的需求。为了应对这一挑战&#xff0c;他们选择了一个备受赞誉的系统管理平台——监控易&#xff0c;…

利用jQuery实现AJAX定时刷新局部页面实例

通过两种方法实例讲解ajax定时刷新局部页面&#xff0c;当然方法有很多种&#xff0c;也可以不使用ajax来刷新页面&#xff0c;可以使用jquery中的append来给指定内容加东西&#xff0c;但是都不太实用&#xff0c;最实用的方法还是ajax加载数据了。 方法一&#xff1a; 局部刷…

JAVA优化: MD5 加密的工具类

MD5 加密的工具类&#xff0c;提供了对字符串进行 MD5 加密的功能。主要包括以下几个方法&#xff1a; md5(String s)&#xff1a;对传入的字符串进行 MD5 加密&#xff0c;并返回加密后的字节数组。toHex(byte hash[])&#xff1a;将字节数组转换为十六进制字符串表示。hash(…

ApplicationRunner 类

优质博文&#xff1a;IT-BLOG-CN 在开发中可能会有这样的情景。需要在容器启动的时候执行一些内容。比如读取配置文件&#xff0c;数据库连接之类的。SpringBoot给我们提供了两个接口来帮助我们实现这种需求。这两个接口分别为CommandLineRunner和ApplicationRunner。他们的执…

JavaScript 代码整洁技巧

为什么代码要整洁&#xff1f; 代码质量与整洁度成正比。有的团队在赶工期的时候&#xff0c;不注重代码的整洁&#xff0c;代码写的越来越糟糕&#xff0c;项目越来越混乱&#xff0c;生产力也跟着下降&#xff0c;那就必须找更多人来提高生产力&#xff0c;开发成本越来越高…