今天完成的事情：

1. 学习了 cookie 的知识

2. 完成了拦截器与 cookie 实现免登录的测试，使用 maxAge 使 cookie 1分钟后失效

访问所有到带 /u/  路径的页面都会检测 cookie，失效或者没有都会跳转到登录页。

登录页输入账户密码，验证成功则插入 cookie 并且跳转之前需要访问的目标地址，验证失败则继续停留在登录页。

登录成功后一分钟内 cookie 有效，可以访问所有的 /u/ 路径下的页面，失效后则跳转登录页。

可以选择主动注销，将会删除 cookie（将 maxAge 设置为 0）.

遇到的问题：

1. 配置静态资源路径不生效

<mvc:resources mapping="/css/**" location="/css/"/>
<mvc:resources mapping="/img/**" location="/imges/"/>
<mvc:resources mapping="/js/**" location="/js/"/>

今天才发现这个问题，在任务4中静态资源访问没有问题并非是这个配置有效。因为我的图片地址并不是 /img/

而是 /image/ 与 webapp 下面的图片地址一样。至于为什么静态资源没有被拦截我现在还没搞清楚。

明天可能要从 github 拉一份旧代码回溯一下这个问题。

2. 其中一个页面的 requestMapping 加上 /u/ 之后所有的图片、css 与 js 都无法访问。

因为静态资源使用的是相对地址（相对于当前页面的地址）。所以静态资源的前面都加上了 /u/ 使得无法访问。

对于 css、js 来说这个问题可以用绝对路径来解决，就是前面加上 localhost:8080，但是图片就需要去修改 html 一个个的加上，感觉不太对劲，应该有更好的解决方式，我明天再试试。

收获：

1. 什么是 cookie？

Cookie 最初由 w3c 组织提出，最早由Netscape社区发展的一种机制。目前Cookie已经成为标准，所有的主流浏览器如IE、Netscape、Firefox、Opera等都支持Cookie。

Cookie实际上是一小段的文本信息。客户端请求服务器，如果服务器需要记录该用户状态，就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时，浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie，以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

注意：Cookie功能需要浏览器的支持。

如果浏览器不支持Cookie（如大部分手机中的浏览器）或者把Cookie禁用了，Cookie功能就会失效。

不同的浏览器采用不同的方式保存Cookie。

2. 为什么需要 cookie？

在应用程序中，我们经常需要跟踪一个用户的操作，比如用户收藏文章，我们需要分辨是哪个用户收藏的，不能把其他用户的收藏混淆在一起。一个用户的所有操作应该属于同一个会话。

常见的 web 应用程序都是使用 HTTP 些意来传输数据，HTTP 协议是无状态的协议，一旦数据传输完毕，客户端与服务端的连接即断开，下次数据传输就需要建立新的连接。服务器无法用连接的形式来耿总会话，那么我们就需要引入一种机制来跟踪会话，分辨一个会话从属的用户。

Cookie 即为一种这样的机制以弥补 HTTP 协议的先天不足。

3. Java 如何操作 cookie？

Java中把Cookie封装成了javax.servlet.http.Cookie类。每个Cookie都是该Cookie类的对象。服务器通过操作Cookie类对象对客户端Cookie进行操作。通过request.getCookie()获取客户端提交的所有Cookie（以Cookie[]数组形式返回），通过response.addCookie(Cookiecookie)向客户端设置Cookie。

Cookie对象使用key-value属性对的形式保存用户状态，一个Cookie对象保存一个属性对，一个request或者response同时使用多个Cookie。因为Cookie类位于包javax.servlet.http.*下面，所以JSP中不需要import该类。

4. cookie 的特性与其行为？

不可跨域名性：

Cookie在客户端是由浏览器来管理的。浏览器能够保证Google只会操作Google的Cookie而不会操作Baidu的Cookie，从而保证用户的隐私安全。浏览器判断一个网站是否能操作另一个网站Cookie的依据是域名。Google与Baidu的域名不一样，因此Google不能操作Baidu的Cookie。

image.google.com 与 www.google.com  域名也是 不一样的，不能互相访问，但是我们可以通过一些特殊处理使其互相访问。

有效期：

maxAge决定着Cookie的有效期，单位为秒（Second）。Cookie中通过getMaxAge()方法与setMaxAge(int maxAge)方法来读写maxAge属性。

如果maxAge属性为正数，则表示该Cookie会在maxAge秒之后自动失效。浏览器会将maxAge为正数的Cookie持久化，即写到对应的Cookie文件中。无论客户关闭了浏览器还是电脑，只要还在maxAge秒之前，登录网站时该Cookie仍然有效。

如果maxAge为负数，则表示该Cookie仅在本浏览器窗口以及本窗口打开的子窗口内有效，关闭窗口后该Cookie即失效。maxAge为负数的Cookie，为临时性Cookie，不会被持久化，不会被写到Cookie文件中。Cookie信息保存在浏览器内存中，因此关闭浏览器该Cookie就消失了。Cookie默认的maxAge值为–1。

如果maxAge为0，则表示删除该Cookie。Cookie机制没有提供删除Cookie的方法，因此通过设置该Cookie即时失效实现删除Cookie的效果。失效的Cookie会被浏览器从Cookie文件或者内存中删除。

Cookie 的修改与删除：

response对象提供的Cookie操作方法只有一个添加操作add(Cookie cookie)。

要想修改Cookie只能使用一个同名的Cookie来覆盖原来的Cookie，达到修改的目的。删除时只需要把maxAge修改为0即可。

注意：从客户端读取Cookie时，包括maxAge在内的其他属性都是不可读的，也不会被提交。浏览器提交Cookie时只会提交name与value属性。maxAge属性只被浏览器用来判断Cookie是否过期。

Cookie的域名：

正常情况下，同一个一级域名下的两个二级域名如www.helloweenvsfei.com和images.helloweenvsfei.com也不能交互使用Cookie，因为二者的域名并不严格相同。如果想所有helloweenvsfei.com名下的二级域名都可以使用该Cookie，需要设置Cookie的domain参数，例如：

cookie cookie = new Cookie("time","20080808"); // 新建Cookie

cookie.setDomain(".helloweenvsfei.com");           // 设置域名，必须以 . 开始

cookie.setPath("/");                                                // 设置路径，必须以 / 结束

cookie.setMaxAge(Integer.MAX_VALUE);               // 设置有效期

response.addCookie(cookie);                                  // 输出到客户端

Cookie的安全属性：

使用HTTP协议传输很机密的内容是一种隐患。如果不希望Cookie在HTTP等非安全协议中传输，可以设置Cookie的secure属性为true。浏览器只会在HTTPS和SSL等安全协议中传输此类Cookie。下面的代码设置secure属性为true：

cookie cookie = new Cookie("time", "20080808"); // 新建Cookie

cookie.setSecure(true);                                          // 设置安全属性

response.addCookie(cookie);                                 // 输出到客户端

5. Cookie 的替代机制？

session：Session是服务器端使用的一种记录客户端状态的机制，使用上比Cookie简单一些，相应的也增加了服务器的存储压力。

明天的计划：

1. 解决今天遇到的问题

2. 加密 cookie 中的信息

今天测试是直接保存的账户与密码