本文为原创文章，转载请注明来源http://www.zhlwish.com

在《session、cookie与“记住我的登录状态”的功能的实现》一文中详细讲解了Cookie和Session的原理以及“记住我的登录状态”功能的实现原理，本文以Servlet、JSP技术为例讲解Servlet中Cookie和Session的使用以及以此为基础的“记住我的登录状态”功能的实现方式，最后附上例子程序的源代码。

EL表达式

本文的样例源代码中用到了JSP EL表达式，JSP1.0中EL表达式是作为JSTL的一部分，即只能在JSTL标签中使用。JSP2.0中EL表达式可以在文本模板中使用，即可以直接在JSP页面中使用，本文的样例源代码使用${pageContext.request.contextPath}在JSP页面中获取当前Web应用的路径(context path)，关于EL表达式的使用请参见《JSTL入门：表达式语言》，关于Web应用的路径请参见《Servlet、JSP中获取Web应用路径(context path)的方法》

Servlet中的Session

javax.servlet.http.HttpSession是Servlet API中定义的一个接口，其中比较重要的方法有：
将一个对象实例存放在Session中：

1

public void setAttribute(String name, Object value);

通过名称获取Session中的对象实例：

1

public Object getAttribute(String name);

Session对象可以用过HttpServletRequest对象获取，一般在Servlet中通过request.getSession();获取一个Session对象。

Web服务器每接收到一个新的请求，服务器就会新建一个Session对象，一般会将当前用户帐号存放于Session中，当然你可以放更多的对象，这样会增加服务器的负担。Session会在一定时间后由Servlet容器销毁，这个时间可以在Web应用的web.xml里面进行设置。

Servlet中的Cookie

javax.servlet.http.Cookie是一个类，有一个构造函数public Cookie(String name, String value)，一般用下面的方式创建一个Cookie对象：

1
2
3
4
5

String cookieName = "userinfo";
String cookieValue = "admin,123";
Cookie cookie = new Cookie(cookieName, cookieValue);
cookie.setMaxAge(14 * 24 * 3600);//设置Cookie的过期时间
cookie.setPath(request.getContextPath());//设置路径

上面仅仅创建了一个Cookie，要使其产生作用，还需要使用response.addCookie(cookie);将Cookie发送到用户浏览器。

一般使用下面的方法将一个Cookie删除，也就是将Cookie设成过期并发送到客户端：

1
2
3

cookie.setMaxAge(0);
cookie.setPath(request.getContextPath());
response.addCookie(cookie);

记住我的登录状态的实现

Servlet中一般使用Filter来保护需要经过认证才能访问的资源，当Filter被调用时对Session以及Cookie中的数据进行检查，如果通过了认证，则放行这次请求；如果未通过认证，则强制跳转到登录页面。具体流程如下图所示：

图中的ForceLoginFilter和DoLoginServlet的实现请参见示例代码。

示例代码中，受保护的资源是admin文件夹下的所有内容，所以web.xml中ForceLoginFilter的url-pattern设置为/admin/*，如果你需要更灵活的资源控制，可以将url-pattern设置为/*，然后在ForceLoginFilter通过检查请求的URL来实现更为详细的控制。

示例代码中，密码使用明文存储在Cookie中，这是不可取的，需要加密。

示例代码使用eclipse开发，直接可以导入到eclipse工程中，在JDK5.0、Tomcat 6.0上测试通过，如果你在运行过程中发现bug，请留言提出，谢谢。

示例代码下载