|
一、Session和Cookie的连续与区别 1.session保存在服务器端,cookie保存在客户端 2.session被默认保存在服务器的一个文件中,也可以被放在文件、数据库甚至内存中 3.session依赖于session id,而session id存在于cookie中——关于这一点,我们可以遍历cookie,会发现一个name="JSESSIONID"的cookie——也就是说,session实际上依赖于cookie,如果cookie被浏览器禁用了,那么session也就不能用了。
二、Session实现保持用户状态 用户登录后,在页面之间传递user信息显然是很麻烦的,总不能每次切换页面时都携带一个user的数据项吧,这个时候我们用session来实现。 实现很简单: 首先保存用户信息至session: request.getSession().setAttribute("user", user);//登录成功,向session中存入user信息
然后在切换页面时获取session中保存的用户信息,交给新页面: HttpSession session = request.getSession();
if(session != null && session.getAttribute("user")!=null) {
view.addObject("user", (User)session.getAttribute("user"));
}else {//未登录}
三、Cookie记住账户信息,自动填充登录信息 上面我们实现了通过session保存用户登录状态,那么,如何实现非常常见的“记住密码”功能呢? 显然这里有两种方式:1.使用session,优点是安全,缺点是会话结束后这个用户信息就丢失了。2.使用cookie,优点是可以设置过期时限,缺点是不安全。 这里我只使用cookie保存用户id,用户请求打开登录界面时,服务端根据这个id从数据库获得整个user,这样不会泄露更多信息,造成安全问题。 实现同样很简单: 首先是保存登录信息: String rememberPassword = request.getParameter("rememberPassword");
//用户信息正确时,保存密码至Cookie
if(rememberPassword!=null && rememberPassword.equals("on")) {
Cookie cookie = new Cookie("user_id", user.getId()+"");
cookie.setMaxAge(7*24*60*60);//cookie时限,单位是s;
response.addCookie(cookie);//将用户id添加至cookie
}
然后在处理用户打开登录界面请求时,使用这个cookie: @RequestMapping(path="/toLogin",method= {RequestMethod.GET})
public ModelAndView toLogin(HttpServletRequest request,HttpServletResponse response) {
ModelAndView view = new ModelAndView("user/login");
Cookie[] cookies = request.getCookies();
for(Cookie c : cookies) {
if(c.getName().equals("user_id")) {
int id = Integer.parseInt(c.getValue());
User user = userService.getUserById(id);
if(user!=null) {
view.addObject("user", user);
}
}
}
return view;
}
现在,界面user/login.html拿到了user的信息,然后填充登录信息: (注意我这里用的thymeleaf模板引擎,用jsp或者其他技术的使用自己的语法即可) <script th:inline="javascript">
$(document).ready(function(){
var email = [[${user.email}]];
if(email!=null){
if(email!=""){
document.getElementById("email").value=email;
document.getElementById("password").value=[[${user.password}]];
document.getElementById("rememberPassword").checked=true;
}
}
});
</script>
最后强调一点,session的生命周期是从会话开始到会话结束,而cookie的生命周期是自己设置的,如果不设置,默认浏览器关闭这个cookie就没了,所以最好设置一下期限。 ok,关于session和cookie的知识就讲到这里。
| 
转播
