session机制

Posted 奇点23

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了session机制相关的知识,希望对你有一定的参考价值。

1.Session通过在服务器端记录信息确定用户身份

2.Session是服务器端使用的一种记录客户端状态的机制增加了服务器的存储压力

3.  什么是Session

Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

 

如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。

4.实现用户登录

Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象,所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一种key-value的属性对,通过getAttribute(Stringkey)和setAttribute(String key,Objectvalue)方法读写客户状态信息。Servlet里通过request.getSession()方法获取该客户的Session,

 

例如:

 

HttpSession session = request.getSession();       // 获取Session对象

 

session.setAttribute("loginTime", new Date());     // 设置Session中的属性

 

   

 

out.println("登录时间为:" +(Date)session.getAttribute("loginTime"));      // 获取Session属性

 

request还可以使用getSession(boolean create)来获取Session。区别是如果该客户的Session不存在,request.getSession()方法会返回null,而getSession(true)会先创建Session再将Session返回。

 

Servlet中必须使用request来编程式获取HttpSession对象,而JSP中内置了Session隐藏对象,可以直接使用。如果使用声明了<%@page session="false" %>,则Session隐藏对象不可用。下面的例子使用Session记录客户账号信息。

 

源代码如下:

 

代码1.9  session.jsp

 

<%@ page language="java" pageEncoding="UTF-8"%>

 

<jsp:directive.page import="com.helloweenvsfei.sessionWeb.bean.Person"/>

 

<jsp:directive.page import="java.text.SimpleDateFormat"/>

 

<jsp:directive.page import="java.text.DateFormat"/>

 

<jsp:directive.page import="java.util.Date"/>

 

<%!

 

    DateFormat dateFormat = newSimpleDateFormat("yyyy-MM-dd");         // 日期格式化器

 

%>

 

<%

 

    response.setCharacterEncoding("UTF-8");        // 设置request编码

 

    Person[] persons =

 

    {          

 

       // 基础数据,保存三个人的信息

 

        new Person("Liu Jinghua","password1", 34, dateFormat.parse
        ("1982-01-01")),

 

        new Person("Hello Kitty","hellokitty", 23, dateFormat.parse
        ("1984-02-21")),

 

        new Person("Garfield", "garfield_pass",23, dateFormat.parse
        ("1994-09-12")),

 

     };

 

   

 

    String message = "";                      // 要显示的消息

 

   

 

    if(request.getMethod().equals("POST"))

 

    {

 

        // 如果是POST登录       

 

        for(Person person :persons)

 

        {          

 

            // 遍历基础数据,验证账号、密码

 

            // 如果用户名正确且密码正确

 

           if(person.getName().equalsIgnoreCase(request.getParameter("username"))&&person.getPassword().equals(request.getParameter("password")))

 

           {              

 

               // 登录成功,设置将用户的信息以及登录时间保存到Session

 

               session.setAttribute("person", person);                   // 保存登录的Person

 

               session.setAttribute("loginTime", new Date());          // 保存登录的时间              

 

               response.sendRedirect(request.getContextPath() + "/welcome.jsp");

 

               return;

 

            }

 

        }      

 

        message = "用户名密码不匹配,登录失败。";       // 登录失败

 

    }

 

%>

 

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01Transitional//EN">

 

<html>

 

    // ... HTML代码为一个FORM表单,代码略,请看随书光盘

 

</html>

 


 

登录界面验证用户登录信息,如果登录正确,就把用户信息以及登录时间保存进Session,然后转到欢迎页面welcome.jsp。welcome.jsp中从Session中获取信息,并将用户资料显示出来。

 

welcome.jsp代码如下:

 

代码1.10  welcome.jsp

 

<%@ page language="java" pageEncoding="UTF-8"%>

 

<jsp:directive.pageimport="com.helloweenvsfei.sessionWeb.bean.Person"/>

 

<jsp:directive.page import="java.text.SimpleDateFormat"/>

 

<jsp:directive.page import="java.text.DateFormat"/>

 

<jsp:directive.page import="java.util.Date"/>

 

<%!

 

    DateFormat dateFormat = newSimpleDateFormat("yyyy-MM-dd");         // 日期格式化器

 

%>

 

<%

 

    Person person =(Person)session.getAttribute("person");                       // 获取登录的person

 

    Date loginTime =(Date)session.getAttribute("loginTime");                     // 获取登录时间

 

%>

 

    // ... 部分HTML代码略

 

            <table>

 

               <tr><td>您的姓名:</td>

 

                   <td><%= person.getName()%></td>

 

               </tr>

 

               <tr><td>登录时间:</td>

 

                   <td><%= loginTime%></td>

 

               </tr>

 

               <tr><td>您的年龄:</td>

 

                   <td><%= person.getAge()%></td>

 

               </tr>

 

               <tr><td>您的生日:</td>

 

                   <td><%=dateFormat.format(person.getBirthday()) %></td>

 

               </tr>

 

            </table>

 

程序运行效果如图1.8所示。

 

技术分享

 

图1.8  使用Session记录用户信息

 

注意程序中Session中直接保存了Person类对象与Date类对象,使用起来要比Cookie方便。

 

当多个客户端执行程序时,服务器会保存多个客户端的Session。获取Session的时候也不需要声明获取谁的Session。Session机制决定了当前客户只会获取到自己的Session,而不会获取到别人的Session。各客户的Session也彼此独立,互不可见

 


 

提示Session的使用比Cookie方便,但是过多的Session存储在服务器内存中,会对服务器造成压力。

5.Session的生命周期

Session保存在服务器端。为了获得更高的存取速度,服务器一般把Session放在内存里。每个用户都会有一个独立的Session。如果Session内容过于复杂,当大量客户访问服务器时可能会导致内存溢出。因此,Session里的信息应该尽量精简。

Session在用户第一次访问服务器的时候自动创建。需要注意只有访问JSP、Servlet等程序时才会创建Session,只访问HTML、IMAGE等静态资源并不会创建Session。如果尚未生成Session,也可以使用request.getSession(true)强制生成Session。

Session生成后,只要用户继续访问,服务器就会更新Session的最后访问时间,并维护该Session。用户每访问服务器一次,无论是否读写Session,服务器都认为该用户的Session“活跃(active)”了一次。


6.Session的有效期

由于会有越来越多的用户访问服务器,因此Session也会越来越多。为防止内存溢出,服务器会把长时间内没有活跃的Session从内存删除。这个时间就是Session的超时时间。如果超过了超时时间没访问过服务器,Session就自动失效了。

Session的超时时间为maxInactiveInterval属性,可以通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(longinterval)修改。

Session的超时时间也可以在web.xml中修改。另外,通过调用Session的invalidate()方法可以使Session失效。

 

7. Session对浏览器的要求

虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。

该Cookie为服务器自动生成的,它的maxAge属性一般为–1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。

因此同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。


注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择“在新窗口中打开”时,子窗口便可以访问父窗口的Session。

如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?例如,绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案:URL地址重写。

 

8.URL地址重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写,例如:

<td>

    <a href="<%=response.encodeURL("index.jsp?c=1&wd=Java") %>">
    Homepage</a>

</td>

该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。重写后的输出可能是这样的:

<td>

    <ahref="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=
    1&wd=Java">Homepage</a>

</td>

即在文件名的后面,在URL参数的前面添加了字符串“;jsessionid=XXX”。其中XXX为Session的id。分析一下可以知道,增添的jsessionid字符串既不会影响请求的文件名,也不会影响提交的地址栏参数。用户单击这个链接的时候会把Session的id通过URL提交到服务器上,服务器通过解析URL地址获得Session的id。

如果是页面重定向(Redirection),URL地址重写可以这样写:

<%

    if(“administrator”.equals(userName))

    {

       response.sendRedirect(response.encodeRedirectURL(“administrator.jsp”));

        return;

    }

%>

效果跟response.encodeURL(String url)是一样的:如果客户端支持Cookie,生成原URL地址,如果不支持Cookie,传回重写后的带有jsessionid字符串的地址。

对于WAP程序,由于大部分的手机浏览器都不支持Cookie,WAP程序都会采用URL地址重写来跟踪用户会话。比如用友集团的移动商街等。


注意:TOMCAT判断客户端浏览器是否支持Cookie的依据是请求中是否含有Cookie。尽管客户端可能会支持Cookie,但是由于第一次请求时不会携带任何Cookie(因为并无任何Cookie可以携带),URL地址重写后的地址中仍然会带有jsessionid。当第二次访问时服务器已经在浏览器中写入Cookie了,因此URL地址重写后的地址中就不会带有jsessionid了。


9.  Session中禁止使用Cookie

既然WAP上大部分的客户浏览器都不支持Cookie,索性禁止Session使用Cookie,统一使用URL地址重写会更好一些。Java Web规范支持通过配置的方式禁用Cookie。下面举例说一下怎样通过配置禁止使用Cookie。

打开项目sessionWeb的WebRoot目录下的META-INF文件夹(跟WEB-INF文件夹同级,如果没有则创建),打开context.xml(如果没有则创建),编辑内容如下:

代码1.11 /META-INF/context.xml

<?xml version=‘1.0‘ encoding=‘UTF-8‘?>

<Context path="/sessionWeb"cookies="false">

</Context>


或者修改Tomcat全局的conf/context.xml,修改内容如下:

代码1.12  context.xml

<!-- The contents of this file will be loaded for eachweb application -->

<Context cookies="false">

    <!-- ... 中间代码略 -->

</Context>

部署后TOMCAT便不会自动生成名JSESSIONID的Cookie,Session也不会以Cookie为识别标志,而仅仅以重写后的URL地址为识别标志了。


注意:该配置只是禁止Session使用Cookie作为识别标志,并不能阻止其他的Cookie读写。也就是说服务器不会自动维护名为JSESSIONID的Cookie了,但是程序中仍然可以读写其他的Cookie。

 

例子:

servlet:

package com.bjsxt.session.servlet;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;


/**
 * HttpSession(I)   ==会话---->客户端跟服务器的交互
 *
 * 生活案例
 * 存钱 ,取钱,卡,卡的生命
 * 卡key  钱value
 * 销卡----(当用户3年内对该卡没有任何的操作的时候,该卡自动销毁)----结束在服务器端
 * 银行倒闭了,卡还在,钱没有了   ----结束在服务端
 * 卡丢了,钱还在,   ------结束在客户端
 *   session会话开始:当用户第一次访问项目的时候会创建一个JsessionId,第二次直接使用JsessionId,不会创建新的
 *   可不可以取消cookie?
 *      不可以(一旦关闭浏览器,cookie失效,会话结束---》会话结束,浏览器关闭就结束,)---》session的跟踪机制(Cookie)有关
 *   
 *   加入浏览器管理,会话会不会结束?
 *     会
 *     1.设置不活动周期时间,一旦超过不活动周期时间,会话自动销毁,服务器做的
 *     2.在tomcat--》conf--》会话时间设置,针对所有的web项目
 *        <session-config>
           <session-timeout>30</session-timeout>
         </session-config>
       3.针对当前项目的web.xml-->进行会话时间设置,相当于重写了全局web.xml的配置
           <session-config>
              <session-timeout>1</session-timeout>
           </session-config>
       4.针对项目的具体的Servlet设置了不活动周期时间,相当于重写当前整个项目的web.xml的会话时间的设置
            会话
                 开始
                        用户向服务器发送请求的时候
                结束
                     客户端
                           取消Cookie==关闭浏览器
                      服务器端
          1.1服务器关闭
          1.2超过了设置不活动周期时间
 *     
 * @author Administrator
 *
 */
public class SessionServlet extends HttpServlet {
    
    
    @Override
    protected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        
        
        //创建HttpSession对象
        HttpSession session=req.getSession();
        
        //设置会话不活动周期的时间,一旦超过不活动周期时间,会话自动销毁
        //session.setMaxInactiveInterval(10);//设置为10秒,如果设置为负数,会话永远不会结束(不推介)
        
        //最快的销毁会话的方式
        session.invalidate();//立即结束会话
        
        //打印session标识
        System.out.println("session会话标识:"+session.getId());
    }

}

web.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns="http://java.sun.com/xml/ns/javaee" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd" id="WebApp_ID" version="2.5">
  <display-name>web_project_1018_session</display-name>
 
  <session-config>
      <session-timeout>2</session-timeout>
  </session-config>
  <servlet>
    <servlet-name>SessionServlet</servlet-name>
    <servlet-class>com.bjsxt.session.servlet.SessionServlet</servlet-class>
  </servlet>

  <servlet-mapping>
    <servlet-name>SessionServlet</servlet-name>
    <url-pattern>/session.action</url-pattern>
  </servlet-mapping>
  <welcome-file-list>
    <welcome-file>index.html</welcome-file>
    <welcome-file>index.htm</welcome-file>
    <welcome-file>index.jsp</welcome-file>
    <welcome-file>default.html</welcome-file>
    <welcome-file>default.htm</welcome-file>
    <welcome-file>default.jsp</welcome-file>
  </welcome-file-list>
</web-app>

 

 
















































































































以上是关于session机制的主要内容,如果未能解决你的问题,请参考以下文章

session机制详解以及session的相关应用

PHP的Session机制解析

理解session机制

SESSION机制

服务器session,Tomcat有自己的session维护机制,apache有自己的session维护机制

session详解