HTTP会话技术—Cookie、Session和Token介绍及它们在JavaWeb中的使用

本文介绍: HTTP会话技术—Co o ki e、Ses s ion和To ken 介绍及它们在Ja va中的使用

当涉及到We b 应用程序的身份验证和状态管理时，我们通常会使用到Co ok ie、Ses s ion和To ken这些会话技术。下面是对它们的介绍，并在Ja vaWe b中的示例

Co ok ie（HTTP Co ok ie）

Co ok ie是一种存储在用户浏览器中的小型文本文件，由服务器发送给浏览器，然后浏览器在后续请求中将其包含在HTTP头中发送回服务器。Co ok ie通常用于跟踪用户的会话状态、存储用户偏好设置等。

Co ok ie的工作 流程

服务端提供了两个Ser v let，分别是Ser vle tA和Se r vle tB
浏览器发送HTTP请求1给服务端，服务端Servle tA接收请求并进行业务处理
服务端ServletA在处理的过程中可以创建一个Cook ie 对象并将name=zs的数据存入Cook ie
服务端ServletA在响应数据的时候，会把Cook ie对象响应给浏览器
浏览器接收到响应数据，会把Cookie对象中的数据存储在浏览器内存中，此时浏览器和服务端就建立了一次会话
在同一次会话中浏览器再次发送HTTP请求2给服务端ServletB，浏览器会携带Cookie对象中的所有数据
ServletB接收到请求和数据后，就可以获取到存储在Cookie对象中的数据，这样同一个会话中的多次请求之间就实现了数据共享

在Ja va中使用Cookie，可以使用javax.servlet.http.Cookie类进行操作。以下是使用Cookie的简单示例：

Cookie cookie = new Cookie("username", "john");
cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时
response.addCookie(cookie); // 将Cookie添加到响应中

// 从请求中获取Cookie
Cookie[] cookies = request.getCookies();
if (cookies != null) {
    for (Cookie cookie : cookies) {
        if (cookie.getName().equals("username")) {
            String username = cookie.getValue();
            // 处理用户名
        }
    }
}

在spring中的使用，以登陆为例，在Controller层，Cookie常用于存储和获取用户的身份信息或其他状态信息。当用户进行登录时，Controller可以将用户的身份信息存储在Cookie中，并在后续请求中读取该Cookie来验证用户身份。：

// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,
                    @RequestParam("password") String password,
                    HttpServletResponse response) {
    // 验证用户名和密码
    if (authenticate(username, password)) {
        // 登录成功，创建Cookie并设置相关信息
        Cookie cookie = new Cookie("username", username);
        cookie.setMaxAge(3600); // 设置Cookie的过期时间为1小时
        response.addCookie(cookie);
        return "redirect:/home";
    } else {
        // 登录失败
        return "redirect:/login";
    }
}

// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpServletRequest request) {
    // 从请求中获取Cookie
    Cookie[] cookies = request.getCookies();
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals("username")) {
                String username = cookie.getValue();
                // 处理用户身份
                return "profile";
            }
        }
    }
    // 用户未登录，跳转到登录页
    return "redirect:/login";
}

Sess ion（会话）

Sess ion是一种在服务器端存储用户状态信息的机制。当用户访问Web 应用程序时，服务器会为每个用户创建一个唯一的会话，并为该会话分配一个唯一的标识符（Ses s ion ID）。服务器使用该标识符来识别特定的用户会话并存储相关数据。

Session的工作 流程

在服务端的AServlet获取一个Session对象，把数据存入其中
在服务端的BServlet获取到相同的Session对象，从中取出数据
就可以实现一次会话中多次请求之间的数据共享了

在Java中，可以使用javax.servlet.http.HttpSession接口来管理会话对象。以下是使用Session的示例：

// 创建或获取会话对象
HttpSession session = request.getSession();

// 在会话中存储数据
session.setAttribute("username", "john");

// 从会话中获取数据
String username = (String) session.getAttribute("username");

在Cont roller层，Session通常用于存储和获取用户的会话状态信息。当用户进行登录时，Cont roller可以在Session中存储用户的身份信息或其他相关数据，在后续的请求中使用该Session来验证用户身份和获取用户信息：

// 登录请求处理
@RequestMapping("/login")
public String login(@RequestParam("username") String username,
                    @RequestParam("password") String password,
                    HttpSession session) {
    // 验证用户名和密码
    if (authenticate(username, password)) {
        // 登录成功，将用户信息存储在Session中
        session.setAttribute("username", username);
        return "redirect:/home";
    } else {
        // 登录失败
        return "redirect:/login";
    }
}

// 需要验证用户身份的请求处理
@RequestMapping("/profile")
public String profile(HttpSession session) {
    // 从Session中获取用户信息
    String username = (String) session.getAttribute("username");
    if (username != null) {
        // 处理用户身份
        return "profile";
    }
    // 用户未登录，跳转到登录页
    return "redirect:/login";
}

Token（令牌）

Token是一种无状态的身份验证机制，用于验证客户端的身份。服务器在用户进行身份验证后，生成一个包含用户信息的令牌，并将其发送给客户端。客户端在后续请求中将令牌包含在请求头中发送给服务器，服务器通过验证令牌来确认用户的身份。

在Java中，可以使用JSON Web Token（JWT）库来生成和验证令牌。使用JWT：

import io.jsonwebtoken.Claims;
import io.jsonwebtoken.Jwts;
import io.jsonwebtoken.SignatureAlgorithm;
import java.util.Date;

// 生成令牌
String secretKey = "yourSecretKey";
String token = Jwts.builder()
    .setSubject("john")
    .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 设置过期时间为1小时
    .signWith(SignatureAlgorithm.HS512, secretKey)
    .compact();
request.setHeader("token",token);


// 验证令牌
Claims claims = Jwts.parser()
    .setSigningKey(secretKey)
    .parseClaimsJws(token)
    .getBody();
String username = claims.getSubject();

在Cont roller层，Token常用于进行API身份验证。当客户端通过API请求访问受保护的资源时，Cont roller可以验证传递的Token，从中提取用户身份信息，并根据验证结果进行相应的处理。

// API请求处理
@RequestMapping("/api/profile")
public ResponseEntity<?> getProfile(@RequestHeader("Authorization") String token) {
    // 验证Token
    if (validateToken(token)) {
        String username = extractUsernameFromToken(token);
        // 处理用户身份
        UserProfile userProfile = getUserProfile(username);
        return ResponseEntity.ok(userProfile);
    } else {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).build();
    }
}

大概就是这么个使用法的，下面是八股文，它们的区别：

存储位置：
- Cookie：Cookie是存储在客户端（浏览器）中的小型文本文件，通过设置响应头将Cookie发送给客户端，客户端将Cookie存储在本地。
- Session：Session是存储在服务器端的数据结构，通常以键值对的形式存储在服务器内存或持久化存储中。
数据存储方式：
- Cookie：Cookie以文本形式存储，可以存储有限大小的数据，一般不超过4KB。
- Session：Session可以存储更大的数据，因为它是在服务器端进行存储的，通常没有明确的大小限制。
安全性：
- Cookie：Cookie存储在客户端，因此可以被篡改或窃取，存在一定的安全风险。为了增加安全性，可以对Cookie进行加密或使用安全标记（Secure Flag）来限制只在HTTPS连接中传输。
- Session：Session存储在服务器端，客户端无法直接访问和修改Session数据，相对来说更安全一些。但仍需注意保护Session ID，以防止会话劫持攻击。
生命周期：
- Cookie：Cookie可以设置过期时间，可以是会话Cookie（在浏览器关闭时删除）或持久Cookie（在指定的过期时间之后删除）。
- Session：Session的生命周期由服务器管理，通常在用户会话开始时创建，在一定时间内保持活动状态，或者在用户注销或超时后销毁。
跨域支持：
- Cookie：Cookie在同一域名下的不同路径之间共享，但在不同域名之间不能共享。
- Session：Session默认在同一域名下共享，但可以通过其他机制实现跨域共享。