cookie的诞生
  
HTTP无状态：服务器无法知道两个请求是否来自同一个浏览器，即服务器不知道用户上一次做了什么，每次请求都是完全相互独立
  
交互式Web：客户端与服务器可以互动，如用户登录，购买商品，各种论坛等等
  
Cookie的诞生是为了解决HTTP无状态的特性无法满足交互式web
  
cookie交互原理
  

  
1、用户在输入用户名和密码之后，浏览器将用户名和密码发送给服务器，服务器进行验证，验证通过之后将用户信息加密后封装成Cookie放在请求头中返回给浏览器。
  
2、浏览器收到服务器返回数据，发现请求头中有一个：Set-Cookie，然后它就把这个Cookie保存起来，下次浏览器再请求服务器的时候，会把Cookie也放在请求头中传给服务器
  
3、服务器收到请求后从请求头中拿到cookie，然后解析并到用户信息，说明此用户已登录，Cookie是将数据保存在客户端的
  
cookie属性
  
属性
描述
HttpOnly
标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议，可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改
Secure
如果一个cookie被设置了Secure=true，那么这个cookie只能用https协议发送给服务器，用http协议是不发送的
Domain
Domain 指定了 Cookie 可以送达的主机名。假如没有指定，那么默认值为当前文档访问地址中的主机部分(但是不包含子域名)。
像淘宝首页设置的 Domain 就是 .taobao.com，这样无论是 a.taobao.com 还是 b.taobao.com 都可以使用 Cookie。
在这里注意的是，不能跨域设置 Cookie，比如阿里域名下的页面把 Domain 设置成百度是无效的
Path
Path 指定了一个 URL 路径，这个路径必须出现在要请求的资源的路径中才可以发送 Cookie 。比如设置 Path=/docs，/docs/Web/ 下的资源会带 Cookie 首部，/test 则不会携带 Cookie 首部。
Domain 和 Path 标识共同定义了 Cookie 的作用域：即 Cookie 应该发送给哪些 URL
Expires
当 Expires 属性缺省时，表示是会话性 Cookie，像上图 Expires 的值为 Session，表示的就是会话性 Cookie。当为会话性 Cookie 的时候，值保存在客户端内存中，并在用户关闭浏览器时失效。需要注意的是，有些浏览器提供了会话恢复功能，这种情况下即使关闭了浏览器，会话性 Cookie 也会被保留下来，就好像浏览器从来没有关闭一样。
与会话性 Cookie 相对的是持久性 Cookie，持久性 Cookies 会保存在用户的硬盘中，直至过期或者清除 Cookie。这里值得注意的是，设定的日期和时间只与客户端相关，而不是服务端
SameSite
SameSite 属性可以让 Cookie 在跨站请求时不会被发送，从而可以阻止跨站请求伪造攻击(CSRF)
  
重定向原理
  
客户端向服务器发送请求的时候,服务器如果重定向的话,返回状态码301或者302给客户端,在响应头中存放location,location对应的值就是重定向地址,客户端收到状态码为重定向,直接浏览器本地进行访问
  
一次线上问题排查过程
  
问题现象：
  
企业微信A企业，集成两个移动审批，分别使用wx_third和multi_wx3，在企业微信中交替访问两个移动审批，发现其中一个没有走对应集成方案的单点登录，比如打开multi_wx3的移动审批，实际url地址中的为wx_third，并且实际换取到用户身份也不是实际的值
  
移动计划在同场景下的数据交互实例
  
摘要
  1、URL:https://qy-ci.fdccloud.com/appcenter/dispatch/open?__tenant_id=my59844a86a6053&__wx_menu_id=54&__from=wx_third
  2、URL:https://qy-ci.fdccloud.com/plan-  micro/my59844a86a6053/task/home/index?__from=wx_third
  3、URL:https://qy-ci.fdccloud.com/plan-micro/my59844a86a6053/task/home/index?__from=wx_third
  4、URL:https://qy-ci.fdccloud.com/plan-micro/my59844a86a6053/schedule/calendar/index?__from=wx_third#/message/index
  
批注：
  
1、请求分发地址dispatch/open，服务端告诉浏览器需要要重定向到真实的计划地址
  
2、浏览器开始请求真实的计划地址，服务端发现_from参数与cookie不一致，强制退出登录，并告诉浏览器再次重定向到当前页面，服务端同时设置了最新的cookie值与_from参数一致
  
3、浏览器再次请求计划的真实地址，同时携带了最新的cookie，重新进行了免登，移动计划再次告诉浏览器需要再次做重定向到计划的消息页面
  
4、浏览器开始请求计划的消息页面
  
移动审批在同场景下的数据交互实例
  
摘要
  
1、URL: https://qy-ci.fdccloud.com/appcenter/dispatch/open?__tenant_id=my59844a86a6053&__wx_menu_id=130&__from=multi_wx3
  
2、URL: http://qy-ci.fdccloud.com/workflow-micro/my59844a86a6053/workflow/process-list/index?kindType=1&status=0&__from=multi_wx3
  
3、URL: http://qy-ci.fdccloud.com/workflow-micro/my59844a86a6053/lists/process-list/index?kindType=1&status=0&__from=multi_wx3
  
4、URL: https://qy-ci.fdccloud.com/workflow-micro/my59844a86a6053/lists/process-list/index?kindType=1&status=0&__from=multi_wx3
  
批注：
  
1、请求分发地址dispatch/open，服务端告诉浏览器需要要重定向到真实的审批地址
  
2、浏览器开始请求真实的审批地址，移动审批在actions()方法中拦截到了当前是新服务，然后告诉浏览器要重定向到
  
新服务地址
  
3、浏览器开始请求移动审批的新服务地址，此时vendor beforeAction()检测到当前请求的地址是http协议，告诉浏览器需要重定向到https，并且把最新的cookie返回给了浏览器
  
4、浏览器开始请求https的审批地址，直接进入了应用，前面没有做任何退出登录，也不满足_from参数和cookie的值不一致，此时的用户实际身份还是上一个集成方案对应的用户
  
总结：
  
为何审批的执行流程和计划相差这么大，正是这个差别导致计划表现正常而审批发生串号的问题所在。
  
问题根源在于我们期望是在beforeAction()中实现检测__from的变更，从而实现退出登录，通过重定向再次登录的逻辑。但是审批比较特殊，他们在几个重要的控制器中重写了actions()方法，他们也会做重定向，而且actions()是在beforeAtion()之前执行的，最新的cookie已经被审批返回给浏览器了，下次再进入最终的审批页面时，beforeAction()是检测不到变更的，自然也实现不了退出登录再重新登录
 
 

session保存在服务器端，会一直存在，默认存在时间30分钟；
 
cookie保存sessionid，服务器会根据cookie中sessionid获取session；
 
两种类型的Cookie：
 
临时Cookie（会话Cookie）
永久Cookie
不设置过期时间，则表示这个cookie生命周期为浏览器会话期间，只要关闭浏览器窗口，cookie就消失了。这种生命期为浏览会话期的cookie被称为会话cookie。会话cookie一般不保存在硬盘上而是保存在内存里。
 
设置了过期时间，浏览器就会把cookie保存到硬盘上，关闭后再次打开浏览器，这些cookie依然有效直到超过设定的过期时间。
 
存储在硬盘上的cookie可以在不同的浏览器进程间共享，比如两个IE窗口。而对于保存在内存的cookie，不同的浏览器有不同的处理方式。
 
为何关闭浏览器后，再次访问会觉得session失效了呢，这里的失效意思是session的数据丢失了？
 
其实这里session数据并没有丢失，只是关闭浏览器后，因为默认的cookie生命周期为浏览器的缓存，即关掉浏览器之后cookie就失效了，此时sessionid也就没有了。再次访问后，服务器又生成一个新的sessionid，此时request.getSession()通过sessionid获取到的session就不是之前的session了。
 
 

 
文章目录
 
1. 会话技术
2. Cookie 的概念
3. Cookie 快速入门
4. Cookie 的实现原理
5. Cookie 的细节
5.1 一次可以发送多个 Cookie 吗?
5.2 Cookie 在浏览器中保存多长时间？
5.3 Cookie 能不能存储中文？
5.4 Cookie 在不同项目中能不能共享？
  
6. Cookie 的特点和作用
7. 记住上一次访问时间案例

 
1. 会话技术
 
 
会话的概念
 
一次会话中包含多次请求和响应
 
一次会话：浏览器第一次给服务器资源发送请求，会话建立，直到有一方断开为止
 
 
会话的功能
 
在一次会话内的多次请求间共享数据
 
 
会话技术的分类
 
  
客户端会话技术：Cookie
服务器端会话技术：Session
 
 
2. Cookie 的概念
 
客户端会话技术，将数据保存到客户端
 
3. Cookie 快速入门
 
 
使用步骤
 
  
 
创建 Cookie 对象，绑定数据
 
new Cookie(String name, String value) 
 
 
发送 Cookie 对象
 
response.addCookie(Cookie cookie) 
 
 
获取 Cookie，拿到数据
 
Cookie[] request.getCookies()  
 
 
 
Cookie 练习
 
在 CookieDemo1 中创建 Cookie 并发送，在 CookieDemo2 获取 Cookie
 
@WebServlet("/CookieDemo1")
public class CookieDemo1 extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 创建 Cookie 对象，绑定数据
        Cookie cookie = new Cookie("cookie1","hello");
        // 发送 Cookie 对象
        response.addCookie(cookie);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}
 
@WebServlet("/CookieDemo2")
public class CookieDemo2 extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 获取 Cookie，拿到数据
        Cookie[] cookies = request.getCookies();
        // 遍历 cookies 数组，获取数据
        if (cookies != null) {
            for (Cookie cookie : cookies) {
                String name = cookie.getName();
                String value = cookie.getValue();
                System.out.println(name + ":" + value);
            }
        }
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}

 
 
4. Cookie 的实现原理
 
 
基于响应头 set-cookie 和请求头 cookie 实现的
 
5. Cookie 的细节
 
5.1 一次可以发送多个 Cookie 吗?
 
可以的。创建多个 Cookie 对象，使用 response 调用多次 addCookie 方法发送 Cookie 即可
 
@WebServlet("/CookieDemo3")
public class CookieDemo3 extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 创建 Cookie 对象，绑定数据
        Cookie cookie1 = new Cookie("cookie1","hello");
        Cookie cookie2 = new Cookie("cookie2","world");
        // 发送 Cookie 对象
        response.addCookie(cookie1);
        response.addCookie(cookie2);
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}

 
5.2 Cookie 在浏览器中保存多长时间？
 
默认情况下，当浏览器关闭后，Cookie 数据被销毁
设置持久化存储 
  
void setMaxAge(int seconds)
正数：将 Cookie 数据写到硬盘的文件中，并指定 Cookie 存活时间，时间到后，Cookie 文件将被自动删除。
负数：默认值
 
  
零：删除 Cookie 信息
 
 
5.3 Cookie 能不能存储中文？
 
在 Tomcat 8 之前，Cookie 中不能直接存储中文数据。
在 Tomcat 8 之后，Cookie 支持中文数据。但特殊字符（如空格）还是不支持，建议使用 URL 编码存储，URL 解码解析。
 
5.4 Cookie 在不同项目中能不能共享？
 
 
假设在同一个 Tomcat 服务器中，部署了多个 Web 项目，那么在这些 Web 项目中 Cookie 能不能共享？
 
  
默认情况下 Cookie 不能共享
设置 Cookie 的获取范围 
    
void setPath(String path) 
      
默认情况下，设置当前的虚拟目录。所以一个项目中，所有 Cookie 共享
如果要在不同项目中共享，则可以将path设置为 “/”
 
 
 
 
不同的 Tomcat 服务器间 Cookie 能不能共享？
 
  
 
setDomain(String path)：如果设置一级域名相同，那么多个服务器之间 Cookie 可以共享
 
如：setDomain(".baidu.com")，那么 tieba.baidu.com 和 news.baidu.com 中 Cookie 可以共享
 
 
 
6. Cookie 的特点和作用
 
Cookie 的特点 
  
Cookie 存储数据在客户端浏览器（数据不安全）
浏览器对于单个 Cookie 的大小有限制(4kb)以及对同一个域名下的总 Cookie 数量也有限制(20个)（少量数据）
 
Cookie 的作用 
  
Cookie 一般用于存储少量的不太敏感的数据
可以在不登录的情况下，完成服务器对客户端的身份识别
 
 
7. 记住上一次访问时间案例
 
 
需求分析
 
  
访问一个 Servlet，如果是第一次访问，则提示：您好，欢迎您首次访问。
如果不是第一次访问，则提示：欢迎回来，您上次访问时间为：显示时间字符串
 
 
概要设计
 
 
在服务器中创建一个 Servlet 来判断是否有一个名为 lastTime 的 Cookie
 
  
有：不是第一次访问 
    
响应数据：欢迎回来，您上次访问时间为：2019-08-19 12:42:22
写回Cookie：lastTime=2019-08-19 12:42:22
 
没有：是第一次访问 
    
响应数据：您好，欢迎您首次访问
写回Cookie：lastTime=2019-08-19 12:42:22
 
 
 
编码实现
 
@WebServlet("/CookieTest")
public class CookieTest extends HttpServlet {
    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 设置编码
        response.setContentType("text/html;charset=utf-8");
        // 标志是否有名为 lastTime 的 Cookie
        boolean flag = false;

        // 1.获取所有 Cookie，拿到数据
        Cookie[] cookies = request.getCookies();
        // 2.遍历 cookies 数组
        if (cookies != null && cookies.length > 0) {
            for (Cookie cookie : cookies) {
                // 3.获取 cookies 名称
                String name = cookie.getName();
                // 4.如果有名为 lastTime 的 Cookie，不是第一次访问
                if(name.equals("lastTime")){
                    flag = true;
                    // 响应数据
                    String value = cookie.getValue();
                    // 进行 URL 解码
                    value = URLDecoder.decode(value,"utf-8");
                    response.getWriter().write("欢迎回来，您上次访问时间为："+value);

                    // 写回 Cookie
                    Date date = new Date();
                    // 格式化日期
                    SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
                    String format = simpleDateFormat.format(date);
                    // 进行 URL 编码
                    format = URLEncoder.encode(format, "utf-8");
                    cookie.setValue(format);
                    // 设置存活时期
                    cookie.setMaxAge(60*60*24*30);
                    response.addCookie(cookie);
                    break;
                }
            }
        }
        //5.如果没有名为 lastTime 的 Cookie，是第一次访问
        if(cookies == null || cookies.length == 0 || flag == false){
            // 响应数据
            response.getWriter().write("您好，欢迎您首次访问");

            // 写回 Cookie
            Date date = new Date();
            // 格式化日期
            SimpleDateFormat simpleDateFormat = new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
            String format = simpleDateFormat.format(date);
            // 进行 URL 编码
            format = URLEncoder.encode(format, "utf-8");
            Cookie cookie = new Cookie("lastTime",format);
            // 设置存活时期
            cookie.setMaxAge(60*60*24*30);
            response.addCookie(cookie);

        }
    }

    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        this.doPost(request, response);
    }
}
 

一、cookie 基础知识
 
1、cookie有大小限制，每个cookie存放数据不能超过4kb，如果cookie字符串长度超过4kb，该属性，返回空字符串。
2、cookie最终以文件形式存放在客户端计算机中；
3、cookie格式：cookie名=值；
4、cookie存在有效期，默认情况下，一个cookie的生命周期是在浏览器关闭的时候结束，如果想在关闭后还可以使用，就必须为cookie设置有效期，就是cookie的失效日期。
5、typeof document.cookie 结果是string
6、cookie有域和路径这个概念。域就是domain概念，因为浏览器注意安全，不同域之间不能相互访问 (当然可以通过特殊设置的达到 cookie 跨域访问)。路径就是routing的概念，一个网页创建的cookie只能摆与这个网页在同一目录或者子目录下的所有网页访问，二不能被其他目录下的网页访问
7、其实创建cookie的方式和定义变量的方式有些相似，都需要使用 cookie 名称和 cookie 值。同个网站可以创建多个 cookie ，而多个 cookie 可以存放在同一个cookie 文件中。
 
二、cookie属性
 
1、Path – 路径
 
*   指定与cookie关联的WEB页。
*	值可以是一个目录，或者是一个路径。
*	如果http://localhost/full/index.html 建立了一个cookie，那么在http://localhost/full/	目录里的所有页面，以及该目录下面任何子目录里的页面都可以访问这个cookie。
*	这就是说，在http://localhost/full/full2/full3 里的任何页面都可以访问http://localhost/full/index.html建立的cookie。
*	但是，如果http://localhost/full/ 需要访问http://localhost/full/index.html设置的cooke，该怎么办？
*	这时，我们要把cookie的path属性设置成“/”。在指定路径的时候，凡是来自同一服务器，URL里有相同路径的所有WEB页面都可以共享cookie。
 
2、Domain – 域
 
* 指定关联的WEB服务器或域。
* 值是域名，比如www.china.com。这是对path路径属性的一个延伸。如果我们想让 www.china.com能够访问
  bbs.china.com设置的cookie，该怎么办? 我们可以把domain属性设置成“china.com”，
  并把path属性设置成“/”。
 
3、Secure – 安全
 
* 指定cookie的值通过网络如何在用户和WEB服务器之间传递。
* 这个属性的值或者是“secure”，或者为空。缺省情况下，该属性为空，也就是使用不安全的HTTP连接传递数据。
  如果一个 cookie 标记为secure，那么，它与WEB服务器之间就通过HTTPS或者其它安全协议传递数据。不过，
  设置了secure属性不代表其他人不能看到你机器本地保存的cookie。换句话说，把cookie设置为secure，只保
  证 cookie与WEB服务器之间的数据传输过程加密，而保存在本地的 cookie文件并不加密。如果想让本地cookie
  也加  密，得自己加密数据。
 
4.Expires – 过期时间
 
* 指cookie的生命期，确切地说是过期日期。
* 如果想让cookie的存在期限超过当前浏览器的会话时间，就必须使用这个属性。当过了到期日期时，浏览器会
自动删除cookie文件。
 
三、cookie基础用法
 
1.设置cookie
 
  a.创建cookie   document.cookie="cookie名=值"
   			             document.cookie = 'username=Darren' 		
  b.修改cookie    document.cookie="cookie名=值"
                 document.cookie = 'username=Lisi'

以上代码中’username’表示 cookie 名称，’Darren’表示这个名称对应的值。假设 cookie 名称并不存在，
那么就是创建一个新的 cookie；如果存在就是修改了这个 cookie 名称对应的值。如果要多次创建 cookie ，
重复使用这个方法即可。 
 
2、设置cookie有效时间
 
    var _date = new Date();
    document.cookie = "name=value;expires="+date
 
3、销毁cookie
 
    a、当cookie生存期过期时cookie会被自动销毁
    b、将cookie的值赋值为空字符串，并将有效期属性expires设置为 -1，（历史时间）
 
4、将对象存为cookie
 
    需要将对象转成字符串；用json方法
    JSON.stringify();将json对象转化为json字符串；
    JSON.parse();将json字符串转化为json对象；