很多文章说只要知道某个A请求sessionid,在B请求进来的时候设置
Cookie c2=new Cookie("JSESSIONID", "A请求的id");
c2.setMaxAge(10000*60);
response.addCookie(c2);
下次回话B在进servlet时,就会用的session时会渠道A的session,这里我在服务器是tomact,验证是不行的。
正确的应该是用
response.setHeader("Set-Cookie", "JSESSIONID="+id+"; Path=/spring-mybatis-mysql; HttpOnly");
id是A的sessionid,path是项目的根路径。
在下次B请求在进来的时候 发现
System.out.println("sessionid==" + session.getId()); 此时是A的session id了,
根据这个思路,可自行设计验证
我是这么验证的,浏览器1:A请求不传id,浏览器2:第一次B请求传id=A的sessionid,第二次,B请求不送id,从第三次可以看出 输出的session1值为A请求设置的session1值。
为什么B第一次请求传id没有呢,因为这时候tomact得到请求时没拿到sessionid,自动生成了一个,第二次请求的最后set-cookie,下次在进来的时候,jession id已经变成了A的sessionid了,至于为什么直接
Cookie c2=new Cookie("JSESSIONID", "A请求的id");
response.addCookie(c2);
这样不行,我猜可能是浏览器跟tomact底层交互的,这里我还没弄清楚,希望明白的人帮我解答夏
@RequestMapping(value="/testCookieAndSession1.do")
public String testCookieAndSession1(HttpServletRequest request,HttpServletResponse response,String id) throws Exception{
Cookie[] cc=request.getCookies();
if(cc!=null){
for(int i=0;i<cc.length;i++){
System.out.println("##################"+cc[i].getName());
System.out.println("##################"+cc[i].getValue());
}
}
HttpSession session=request.getSession();
System.out.println("the first session1====="+session.getAttribute("session1"));
System.out.println("requestid==" + session.getId());
session.setAttribute("session1", "wuhaojie"+System.currentTimeMillis());
System.out.println("the first second====="+session.getAttribute("session1"));
if(id!=null&&!"".equals(id)){
response.setHeader("Set-Cookie", "JSESSIONID="+id+"; Path=/spring-mybatis-mysql; HttpOnly");
}
return "success";
}
类似关闭浏览器session持久化,还有分布式项目session会话管理 都可以用这种思路解决;
当然在分布式系统下面,session只在A服务器,B服务器必须要根据sessionid去数据库或者缓存服务器里面查出序列化的session