web基础(第十三天)

2018-10-16  本文已影响0人  hzhang94

Sevlet基础

Servlet的方法

Servlet的生命周期

  1. 通过映射找到到servlet-class的内容,字符串:com.nightliar.a_servlet.FirstServlet;
  2. 通过反射构造FirstServlet对象
    • 得到字节码对象:Class clazz = class.forName("com.nightliar.a_servlet.FirstServlet");
    • 调用无参数的构造方法来构造对象:Object obj = clazz.newInstance();
  3. 创建ServletConfig对象,通过反射调用init方法
    • 得到方法对象:Method m = clazz.getDeclareMethod("init",ServletConfig.class);
    • 调用方法:m.invoke(obj,config);
  4. 创建request,response对象,通过反射调用service方法
    • 得到方法对象:Methodm m
      = clazz.getDeclareMethod("service",HttpServletRequest.class,HttpServletResponse.class);
    • 调用方法:m.invoke(obj,request,response);
  5. 当tomcat服务器停止或web应用重新部署,通过反射调用destroy方法
    • 得到方法对象:Method m = clazz.getDeclareMethod("destroy",null);
    • 调用方法:m.invoke(obj,null);

总结

servlet对象在tomcat服务器是单实例多线程的,所以当多个servlet的线程同时访问了servlet的共享数据,如成员变量,可能会引发线程安全问题。

Cookie基础

Cookie是由服务器端生成,发送给User-Agent,浏览器会将Cookie的key/value保存到某个目录下的文本文件内,下次请求同一网站时就发送该Cookie给服务器。

Cookie常用api

//1.构造Cookie对象
Cookie(java.lang.String name, java.lang.String value)
//2.设置cookie
void setPath(java.lang.String uri);          //设置cookie的有效访问路径
void setMaxAge(int expiry) :                //设置cookie的有效时间
void setValue(java.lang.String newValue);    //设置cookie的值
//3.发送cookie到浏览器端保存
void response.addCookie(Cookie cookie);      //发送cookie
//4.服务器接收cookie
Cookie[] request.getCookies();               //接收cookie

Cookie工作原理

  1. 服务器创建cookie对象,把会话数据存储到cookie对象中,调用new Cookie("name","value")方法;
  2. 服务器发送cookie信息到浏览器,调用response.addCookie(cookie)方法,例如:set-cookie: name = zhangsan (隐藏发送了一个set-cookie名称的响应头);
  3. 浏览器得到服务器发送的cookie,然后保存在浏览器端;
  4. 浏览器在下次访问服务器时,会带着cookie信息,例如: cookie: name = zhangsan (隐藏带着一个叫cookie名称的请求头);
  5. 服务器接收到浏览器带来的cookie信息,调用request.getCookies()。

Cookie的细节

  1. void setPath(java.lang.String uri):设置cookie的有效访问路径。有效路径指的是cookie的有效路径保存在哪里,那么浏览器在有效路径下访问服务器时就会带着cookie信息,否则不带cookie信息。
  2. void setMaxAge(int expiry):设置cookie的有效时间:
    • 正整数:表示cookie数据保存浏览器的缓存目录(硬盘中),数值表示保存的时间;
    • 负整数:表示cookie数据保存浏览器的内存中。浏览器关闭cookie就丢失了;
    • 零:表示删除同名的cookie数据。
  3. Cookie数据类型只能保存非中文字符串类型的。可以保存多个cookie,但是浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB。

Session基础

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。每个用户访问服务器都会建立一个session,那服务器是怎么标识用户的唯一身份呢?事实上,用户与服务器建立连接的同时,服务器会自动为其分配一SessionId。

Session常用api

//1.创建或得到session对象
HttpSession getSession()  
HttpSession getSession(boolean create)  
//2.设置session对象
void setMaxInactiveInterval(int interval);    //设置session的有效时间
void invalidate();                 //销毁session对象
java.lang.String getId();          //得到sessionid
//3.保存会话数据到session对象
void setAttribute(java.lang.String name, java.lang.Object value);  //保存数据
Object getAttribute(java.lang.String name);    //获取数据
void removeAttribute(java.lang.String name);   //清除数据
//4.设置session的有效时间
void setMaxInactiveInterval(int interval);

Session工作原理

  1. 第一次访问创建session对象,给session对象分配一个唯一的ID,叫JSESSIONID;
    new HttpSession();
    
  2. 把JSESSIONID作为Cookie的值发送给浏览器保存;
    Cookie cookie = new Cookie("JSESSIONID", sessionID);
    response.addCookie(cookie);
    
  3. 第二次访问的时候,浏览器带着JSESSIONID的cookie访问服务器;
  4. 服务器得到JSESSIONID,在服务器的内存中搜索是否存放对应编号的session对象;
  5. 如果找到对应编号的session对象,直接返回该对象;
  6. 如果找不到对应编号的session对象,创建新的session对象,继续走1的流程。

Session的创建

当程序需要为某个客户端的请求创建一个session时,服务器首先检查这个客户端的请求里是否已包含sessionId,如果已包含则说明以前已经为此客户端创建过session,服务器就按照sessionId把这个session检索出来使用(检索不到,会新建一个),如果客户端请求不包含sessionId,则为此客户端创建一个session并且生成一个与此session相关联的sessionId,sessionId的值是一个既不会重复,又不容易被找到规律以仿造的字符串,这个sessionId将被在本次响应中返回给客户端保存。

Cookie被禁用

如果客户端禁用了cookie,通常有两种方法实现session而不依赖cookie。

  1. URL重写,就是把sessionId直接附加在URL路径的后面。

  2. 表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如:

    <form name="testform" action="/xxx"> 
    <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
    <input type="text"> 
    </form> 
    

Session共享

对于多网站(同一父域不同子域)单服务器,我们需要解决的就是来自不同网站之间SessionId的共享。由于域名不同(aaa.test.com和bbb.test.com),而SessionId又分别储存在各自的cookie中,因此服务器会认为对于两个子站的访问,是来自不同的会话。解决的方法是通过修改cookies的域名为父域名达到cookie共享的目的,从而实现SessionId的共享。带来的弊端就是,子站间的cookie信息也同时被共享了。

总结

  1. cookie数据存放在客户的浏览器上,session数据放在服务器上。
  2. cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。
  3. session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。
  4. 单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
  5. 可以考虑将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中。

Http协议基础

什么是http协议

http协议:对浏览器客户端和服务器端之间数据传输的格式规范

Http请求

GET /day09/hello HTTP/1.1               --请求行
Host: localhost:8080                    --请求头(多个key-value对象)
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-cn,en-us;q=0.8,zh;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Connection: keep-alive
                                          --一个空行
name=zhangsan&password=123456             --(可选)请求体

请求行

GET /days/hello HTTP/1.1
  1. 请求方法类型GET,常见的请求方式:GET 、 POST、 HEAD、 TRACE、 PUT、 CONNECT 、DELETE;

  2. /days/hello为请求URL,如果是GET类型并有请求参数,由?和$拼接在URL上;

    URL: 统一资源定位符。http://localhost:8080/days/testImg.html。只能定位互联网资源。是URI 的子集。
    URI:统一资源标记符。/days/hello。用于标记任何资源。可以是本地文件系统,局域网或者互联网上的资源。

  3. HTTP/1.1为http协议版本。

    http1.0:当前浏览器客户端与服务器端建立连接之后,只能发送一次请求,一次请求之后连接关闭。
    http1.1:当前浏览器客户端与服务器端建立连接之后,可以在一次连接中发送多次请求。(基本都使用1.1)。

请求头

Accept: text/html,image/*          -- 浏览器接受的数据类型
Accept-Charset: ISO-8859-1         -- 浏览器接受的编码格式
Accept-Encoding: gzip,compress     --浏览器接受的数据压缩格式
Accept-Language: en-us,zh-         --浏览器接受的语言
Host: www.it315.org:80             --(必须的)当前请求访问的目标地址(主机:端口)
If-Modified-Since: Tue, 11 Jul 2000 18:23:51 GMT    --浏览器最后的缓存时间
Referer: http://www.it315.org/index.jsp             -- 当前请求来自于哪里
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)   --浏览器类型
Cookie:name=eric                  -- 浏览器保存的cookie信息
Connection: close/Keep-Alive      -- 浏览器跟服务器连接状态。close: 连接关闭  keep-alive:保存连接。
Date: Tue, 11 Jul 2000 18:23:51 GMT      -- 请求发出的时间

请求体

name=zhangsan&password=123456         --POST提交的参数放在这里

HttpServletRequest对象

//1.请求行: 
request.getMethod();         //请求方式
request.getRequetURI();      //获取rui
request.getRequetURL();      //获取url
request.getProtocol();       //请求http协议版本
//2.请求头:
request.getHeader("名称");   //根据请求头获取请求值
request.getHeaderNames();    //获取所有的请求头名称
//3.实体内容:
request.getInputStream();    //获取实体内容数据

Http响应

HTTP/1.1 200 OK                     --响应行
Server: Apache-Coyote/1.1           --响应头(key-vaule)
Content-Length: 24 
Date: Fri, 30 Jan 2015 01:54:57 GMT
                                    --一个空行
this is hello servlet!!!            --响应体

响应行

HTTP/1.1 200 OK

相应头

Location: http://www.it315.org/index.jsp   --表示重定向的地址,该头和302的状态码一起使用。
Server:apache tomcat                       --表示服务器的类型
Content-Encoding: gzip                     --表示服务器发送给浏览器的数据压缩类型
Content-Length: 80                         --表示服务器发送给浏览器的数据长度
Content-Language: zh-cn                    --表示服务器支持的语言
Content-Type: text/html; charset=GB2312    --表示服务器发送给浏览器的数据类型及内容编码
Last-Modified: Tue, 11 Jul 2000 18:23:51 GMT  --表示服务器资源的最后修改时间
Refresh: 1;url=http://www.it315.org           --表示定时刷新
Content-Disposition: attachment; filename=aaa.zip --表示告诉浏览器以下载方式打开资源(下载文件时用到)
Transfer-Encoding: chunked
Set-Cookie:SS=Q0=5Lb_nQ; path=/search   --表示服务器发送给浏览器的cookie信息(会话管理用到)
Expires: -1                             --表示通知浏览器不进行缓存
Cache-Control: no-cache
Pragma: no-cache
Connection: close/Keep-Alive            --表示服务器和浏览器的连接状态。close:关闭连接 keep-alive:保存连接

HttpServletResponse对象

//1.响应行: 
response.setStatus();        //设置状态码
//2.响应头: 
response.setHeader("name","value");  //设置响应头
//3.实体内容:
response.getWriter().writer();       //发送字符实体内容
response.getOutputStream().writer()  //发送字节实体内容

重定向

resp.setStatus(302);
resp.setHeader("Location", "OtherServlet");

Http基础

https与http区别

  1. https 协议需要到 ca 申请证书,一般免费证书较少,因而需要一定费用。
  2. http 是超文本传输协议,信息是明文传输,https 则是具有安全性的 ssl 加密传输协议。
  3. http 和 https 使用的是完全不同的连接方式,用的端口也不一样,前者是 80,后者是 443。
  4. http 的连接很简单,是无状态的;HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 http 协议安全。

https工作原理

客户端在使用HTTPS 方式与Web 服务器通信时有以下几个步骤:

  1. 客户使用 https 的 URL 访问 Web 服务器,要求与 Web 服务器建立 SSL 连接。
  2. Web 服务器收到客户端请求后,会将网站的证书信息(证书中包含公钥)传送一份给客户端。
  3. 客户端的浏览器与 Web 服务器开始协商 SSL 连接的安全等级,也就是信息加密的等级。
  4. 客户端的浏览器根据双方统一的安全等级,建立会话密钥,然后利用网站的公钥将会话密钥加密,并传送给网站。
  5. Web 服务器利用自己的私钥解密出会话密钥。
  6. Web 服务器利用会话密钥加密与客户端之间的通信。

[图片上传失败...(image-d4d59c-1539677593281)]

https优缺点

  1. HTTPS 协议握手阶段比较费时,会使页面的加载时间延长近 50%,增加 10% 到 20% 的耗电;
  2. HTTPS 连接缓存不如 HTTP 高效,会增加数据开销和功耗,甚至已有的安全措施也会因此而受到影响;
  3. SSL 证书需要钱,功能越强大的证书费用越高,个人网站、小网站没有必要一般不会用。
  4. SSL 证书通常需要绑定 IP,不能在同一 IP 上绑定多个域名,IPv4 资源不可能支撑这个消耗。
上一篇下一篇

猜你喜欢

热点阅读