Session
什么是Session(会话)
- 浏览器访问Web服务器时,服务器会为每一个浏览器在服务器端的内存中分配空间,单独创建一个Session对象,该对象有一个Id属性,其值唯一,一般称之为SessionId,并且服务器会将这个SessionId(使用Cookie的方式)发送给浏览器;浏览器再次访问服务器时,会将Session发送给服务器,服务器可以依据SessionId找到对应的Session对象。
Session工作原理
如何获取Session
HttpSession s = request.getSession(boolean flag);
- HttpSession是个接口,后面返回的是符合接口规范的对象
- 当flag为true时:先查看请求中有没有SessionId,如果没有SessionId,服务器创建一个Session对象;如果有SessionId,依据SessionId查找对应Session对象,找到则返回,找不到则创建一个新的Session对象,所以flag为true时,一定能得到一个Session对象
- 当flag为false时,没有SessionId及有SessionId但没有找到Session对象,均返回null;找到则返回。
HttpSession s = request.getSession()
- 等价于request.getSession(true)
- 提供该方法是为了代码书写更方便一些,大部分情况下是不管找没找到都需要返回一个Session对象。
如何使用Session绑定对象
void Session.setAttribute(String naem,Object obj);
Object Session.getAttribute(String name);
void Session.removeAttribute(String name);
如何删除Session对象
Session.invalidate()
Session验证
- 用户访问需要保护的资源时,可以使用Session验证的方式来保证其安全性,比如要求登录后才能访问的资源
- 实现Session验证,遵循以下步骤
- 1、使用Session.setAttribute()先绑定数据
- 2、使用Session.getAttribute()方式来读取绑定值,如果没有则返回登录页面。
Session超时
什么是Session超时
- Web服务器会将空闲时间过长的Session对象删除掉,以节省服务器内存空间资源
- Web服务器缺省的超时时间限制:一般是30分钟
如何修改Session的缺省时间限制
- 通过修改Tomcat中conf/web.xml文件的设置
<session-config>
<session-timeout>30</session-timeout>
</session-config>
void session.setMaxInactiveInterval(int seconds);
浏览器禁用Cookie的后果
- 如果浏览器禁用Cookie,Session将不能使用。
- 服务器在默认情况下,会使用Cookie的方式将SessionId发送给浏览器,如果用户禁用Cookie,则SessionId不会被浏览器保存,此时,服务器可以使用如URL重写这样的方式来发送SessionId。
URL重写
- 浏览器在访问服务器上的某个地址时,不再使用原来的那个地址,而是使用经过改写的地址(即,在原来的地址后面加上了SessionId)
如何实现URL重写
- 如果是链接地址和表单提交,使用response.encodeURL(String url)生成重写后的URL
- 如果是重定向,使用response.encodeRedirectURL(String url)生成重写后的URL
Session的优缺点
- 优点
- 安全(将状态保存在服务器端)
- Session能够保存的数据类型更丰富,Cookie只能保存字符串
- Session能够保存更多的数据,Cookie大约保存4K
- 缺点
- Session将状态保存在服务器端,占用服务器的内存,如果用户量过大,会严重影响服务器的性能