cookie,session会话对象,application扫扫盲之你的信息怎么泄露的
小甜饼cookie是干什么的呢,首先它是由网络服务器生成,并发送给浏览器,小cookie可以记录用户名和密码,跟踪重复的用户,就像你吃下的小甜饼中有元素标记一样,会一直跟踪你,这时候你的信息会以key/value形式存在客户端的指定目录。
cookie地方法getcookies()可以获取到所有的cookie对象集合,然后对象的getName可以获得指定名称的cookie,getValue可以获取到cookie对象的值,我们将它们发送至客户端使用response对象的addCookie。这时候我们做一个小小实验,看浏览器是否能捕捉到是不是同一个用户上线,避免每次登陆都要输入密码,或者无法识别同一用户,已让人家蒙混过关。
<%
Cookie[] cookies = request.getCookies(); //从request中获得Cookie对象的集合
String user = ""; //登录用户
String date = ""; //注册的时间
if (cookies != null) {
for (int i = 0; i < cookies.length; i++) { //遍历cookie对象的集合
//如果cookie对象的名称为mrCookie
if (cookies[i].getName().equals("mrCookie")) {
//获取用户名
user = URLDecoder.decode(cookies[i].getValue().split("#")[0]); date = cookies[i].getValue().split("#")[1]; //获取注册时间
}
}
}
if ("".equals(user) && "".equals(date)) { //如果没有注册
%>
这里就是创建index.jsp用于遍历cookies,如果存在,则输出再次光临,如果不是输入初次光临则,跳入deal.jsp向cookie写入注册信息。
<body>
<%
request.setCharacterEncoding("UTF-8"); //设置请求的编译为UTF-8
String user=URLEncoder.encode(request.getParameter("user"),"UTF-8");//获取用户名
Cookie cookie = new Cookie("mrCookie", user+"#"+new java.util.Date().toLocaleString());//创建并实例化cookie对象
cookie.setMaxAge(60*60*24*30); //设置cookie有效期30天
response.addCookie(cookie); //保存cookie
%>
我们看下这段代码,将用户user名存入cookie,并且实现保存多少天的功能,这就是我们平时登录一个网站时,一个浏览器提醒你是否要保存用户名和密码,以方便于下次登录,当然像淘宝网等也是这样,在你的浏览器一打开就是你的登录名,当然你的密码过了一段时间失效了,这就是以上代码的cookie.setMaxAge(60*60*24*30); 60秒=一分钟 60分钟=1小时,24小时=1天,30天=1个月,我们程序就是为了保存一个月的用户名,之后你在同一个浏览器登录都是再次登录的界面。
还没做到怎么退出账户,所以要有一个月都在这个页面页了。当你不设置销毁时间时,默认浏览器关闭就销毁cookie。session和cookie一定区别是cookie是保存在客户端,session是保存在服务器端,当然sessionid是保存在客户端,对session不知道的我们往下看。
Session
之所以叫会话,我们可以做一个想象,打电话,只要不挂断电话双方交谈就会一直持续下去,但是在网络中,HTTP是一种无状态协议,一次请求连接一次结束,客户端请求与服务器合作,服务器接受返回响应,然后,就没有然后了,他们的合作到此为止,服务器才不会去保存相关用户信息,服务器管的是大部分自己的资源。这样为了弥补这样的缺点衍生了session,用户在肆意的跳转web页面时保存用户状态,使得整个用户会话一直保存下去,但是在会话中客户端长时间不向服务器发出请求,tomcat服务器是等待30分钟,session对象就会自动消失,这里可以通过编写程序定时发送请求,这里讲一个安全性问题:
在一个有密码保护的web应用中,正确处理用户退出过程并不仅仅只需调用httpsession的invalidate()方法。现在大部分浏览器 上都有后退和前进按钮,允许用户后退或前进到一个页面。就像我经常进入付款页面然后发现我前面订单下错了了,于是点后退按钮,退回到我原来界面,这时候我之前填写的信息还在,这是session在起作用,这时候如果我付款完闭,退出账户,则页面转到登录界面,但是没有关闭浏览器,离开这个公用电脑,另
一个用户使用电脑时点击后退按钮,则不应该再出现我之前的信息,如果出现我应该要很担心我的信息安全问题,事实上,很多web应用为了安全则强制用户关闭浏览器,我记得以前有家网上银行就是这么做的,首先不能直接关闭页面,要退出账户,然后关闭浏
览器。
一个比较好理解的是我之前参加了很多次机试,老师再三要求答完一个页面的题记得点保存再按下一页,也就是需要用户点击保存才会有session来保存你的数据,当然这种情况下也有小伙伴被坑的忘记点保存,之后只好在最后几秒,秒选凭记忆,真正好的机试系统应该能保证在机器断电情况下,换一台电脑继续答题,因为我实在见多了很多小伙伴踢掉了考场的电脑的电源,然后又没保存黯然离场。所以我想说的是真正的web应用要考虑到各方面因素,既要考虑到保存用户信息,也要及时销毁用户信息避免消息泄露,这就是项目和产品的一个区别,产品更要去为用户考虑。
所以及时手动销毁session也是必要的,而不是等到session失效,session对象有一个session.invalidate()来销毁对象,销毁后再次调用这个对象,就会报异常。
接下来我们要区别一下application应用对象:
这个对象用于保存应用程序中所有公用数据,服务器启动时自动创建,服务器停止时自动销毁,所有用户都可以共享application,与session相比,application是公有,这个其实有点像我们定义java 的private 和public,application生命周期更长,类似于系统中的全局变量。
在web应用中,用到application最多的是网页计数器或者聊天室,我们进入聊天室显示此时在线用户多少人就是利用application对象。
通常我们用360清楚网页的缓存时候会看到清楚cookie信息,这个大家可以注意一下,手机端缓存也是一样的存在客户端的cookie,我们会发现偶尔app会要求重新登录,这是cookie已经失效,另一个方法就是进设置对应用程序清除缓存,这时候你也需要重新登录,登陆后保存在服务器端的session会把数据更新到app上。
具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。
当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含了一个session标识
(称为session id),如果已包含则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来
使用(检索不到,会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相
关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应
中返回给客户端保存。保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发送给
服务器。一般这个cookie的名字都是类似于SEEESIONID。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时
仍然能够把session id传递回服务器。
。但cookie可以被人为的禁止,则必须有其他机制以便在cookie被禁止时
仍然能够把session id传递回服务器。
经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面。还有一种技术叫做表单隐藏字段。就是服务器
会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。
上一篇: linux 编写定时任务
下一篇: JavaScript浅尝不辄止