session会话机制广泛应用在JSP、ASP、ASP.NET、PHP等动态网页即使中,网上很多人讨论这个问题,回答有和没有的各占一半。这里给大家一个明确的答案是:有。
下面给出几个错觉,以及证明。
这里仅讨论JSP、Servlet中的会话。
session对象关闭原因只有两个:(1)超时,这个时间可以通过session.getMaxInactiveInterval()得到,tomcat1.7默认是30分钟;(2)客户端主动设置失效,如session.invalidate()。
错觉一:浏览器关了重开,JSP调用session.getId()得到的sessionid不一样
实际上是重新创建了一个session对象,可以通过以下方式证明:
方法:进入tomcat后台管理界面,查看当前的session对象
1.打开tomcat的conf/tomcat-users.xml文件,在<tomcat-users>标签下添加以下内容
<role rolename="manager-gui"/>
<user username="tomcat" password="tomcat" roles="manager-gui"/>
这个xml文件用来配置管理员的角色和用户名密码,角色有四种,"manager-gui"是权限最高的一种,这里配置的用户名和密码都是tomcat
2.启动tomcat,打开http://localhost:8080/manager/html
输入第一步配置的用户名和密码,在管理界面可以看到有几个session,进一步点击可以看到session的具体信息
3.配置一个简单的JSP,部署到 tomcat吧
index.jsp
<%@ page language="java" contentType="text/html; charset=GB2312"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=GB2312">
<title>index</title>
</head>
<body>
<h1>index page</h1>
<table border="1">
<tr>
<td>sessioninfo</td>
<td>value</td>
</tr>
<tr>
<td>sessionid</td>
<td><%=session.getId()%></td>
</tr>
</table>
</body>
</html>
4.用浏览器打开
http://localhost:8080/DemoTestSession/index.jsp
后台显示
此时关闭浏览器,后台是Session依然在。
5.那我们在打开浏览器,再访问这个JSP看看
可以看到SessionID变了,在来看看后台
两个sessionID都在!!
错觉二:tomcat重写URL时分配另一个sessionid,认为原先的session失效
原因:重写URL传递sessionid格式是有要求的,必须是以下格式
http://www.myserver.com/catalog/index.html;jsessionid=1234
其中分号";"绝对不能用"&"代替,并且jssionid不能大写,一定要
全部小写!!
方法:接着上面的实验来,我现在要用第一个session访问,就在URL后面加
;jsessionid=8CE6D618AA50D9E213567E7C307CFEB6
IE中可以看到这个sessionid正好是url中的jsessionid
可以从管理看到 最后访问时间又被刷新了一次如果几个浏览器同时禁用cookies,那么使用不同浏览器可以用URL重写的方式访问同一个sessionid,实际上,从JSP上来说,会话是可以跨浏览器的。
题外话:那么网站里面一个月免登陆又是怎么做的呢?不要忘了除了Cookie、Session还有Token