HttpSession 的运行原理

最新推荐文章于 2025-05-16 18:05:00 发布
最新推荐文章于 2025-05-16 18:05:00 发布
阅读量1.1k 收藏 26
点赞数 27
文章标签: 前端 Cookie 后端 HttpSession
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2302_79951871/article/details/147916841
版权

HttpSession 的运行原理(基于 Java Web)

HttpSession 是 Java Web 开发中用于在服务器端存储用户会话数据的机制,它的核心作用是跟踪用户状态(如登录信息、购物车数据等)。

1. HttpSession 的基本概念

  • 会话(Session):指用户从访问网站到关闭浏览器(或超时)期间的一系列交互过程。

  • Session ID服务器为每个会话分配的唯一标识符(通常是一个 JSESSIONID Cookie)

  • 存储位置:Session 数据默认存储在 服务器内存 中(Tomcat/Jetty等),也可以配置到 Redis、数据库等。

2. HttpSession 的工作流程

(1)创建 Session

当客户端(浏览器)第一次访问服务器时:

  1. 服务器检查请求是否携带 JSESSIONID Cookie。

  2. 如果没有,则创建一个新的 Session,并生成唯一的 JSESSIONID

  3. 服务器在响应头中返回 Set-Cookie: JSESSIONID=xxx,浏览器保存该 Cookie。

(2)后续请求携带 Session ID

浏览器在后续请求中会自动带上 JSESSIONID Cookie:

GET /home HTTP/1.1
Cookie: JSESSIONID=abc123

服务器根据 JSESSIONID 找到对应的 Session,并读取/写入数据。

(3)相关配置

        在一些前后端分离的项目中,涉及跨域问题,这时如果想让会话携带Cookie等凭证,那么需要配置: withCredentials: true。withCredentials可以控制请求是否携带Cookie等凭证,同样的后端也需要设置。

         前端代码实例:

fetch('http://api.example.com/login', {
  method: 'POST',
  credentials: 'include', // 等效于 withCredentials: true
  headers: { 'Content-Type': 'application/json' },
  body: JSON.stringify({ username: 'user', password: 'pass' })
});

       后端代码:

Access-Control-Allow-Credentials: true
Access-Control-Allow-Origin: <具体域名>

注意前后端都需要配置,否则也会报错

(3)Session 失效

Session 会在以下情况被销毁:

  • 超时session.setMaxInactiveInterval(1800)(30分钟无活动则失效)。

  • 主动销毁:调用 session.invalidate()

  • 服务器重启(如果 Session 未持久化到外部存储)。

3. HttpSession 的核心 API

方法说明
request.getSession()获取 Session(如果没有则创建)
request.getSession(false)获取 Session(如果没有则返回 null
session.getId()获取 Session ID
session.setAttribute("key", value)存储数据
session.getAttribute("key")读取数据
session.removeAttribute("key")删除数据
session.invalidate()销毁 Session
session.setMaxInactiveInterval(seconds)设置超时时间(秒)

4. HttpSession 的底层实现

(1)Session 存储方式

  • 默认:存储在 服务器内存(Tomcat 使用 ConcurrentHashMap)。

  • 分布式环境:使用 Redis数据库 或 Session 复制(如 Spring Session)。

(2)Session ID 的传递方式

  • Cookie(默认)

    Set-Cookie: JSESSIONID=abc123; Path=/; HttpOnly

  • URL 重写(禁用 Cookie 时):

    <a href="/home;jsessionid=abc123">Home</a>

5. 代码示例

(1)存储 Session 数据

@GetMapping("/login")
public String login(HttpServletRequest request) {
    HttpSession session = request.getSession(); // 获取或创建 Session
    session.setAttribute("user", "张三"); // 存储数据
    session.setMaxInactiveInterval(1800); // 设置30分钟超时
    return "登录成功";
}

(2)读取 Session 数据

@GetMapping("/profile")
public String profile(HttpServletRequest request) {
    HttpSession session = request.getSession(false); // 不自动创建 Session
    if (session == null) {
        return "未登录";
    }
    String user = (String) session.getAttribute("user");
    return "当前用户: " + user;
}

(3)销毁 Session(退出登录)

@GetMapping("/logout")
public String logout(HttpServletRequest request) {
    HttpSession session = request.getSession(false);
    if (session != null) {
        session.invalidate(); // 销毁 Session
    }
    return "已退出登录";
}

6. 常见问题

(1)Session 和 Cookie 的区别

SessionCookie
存储位置服务器浏览器
安全性较高(数据在服务端)较低(可能被篡改)
存储大小较大(依赖服务器内存)较小(一般 ≤4KB)
生命周期可设置超时时间可设置过期时间

(2)如何防止 Session 劫持?

  • 使用 HTTPS 加密传输 JSESSIONID

  • 设置 HttpOnly 和 Secure 标志,防止 XSS 攻击:

    // Spring Boot 配置(application.properties)
server.servlet.session.cookie.http-only=true
server.servlet.session.cookie.secure=true

7. 总结

  1. HttpSession 用于在服务器端存储用户会话数据,依赖 JSESSIONID 标识用户。

  2. 默认存储在内存,分布式环境可用 Redis 共享 Session。

  3. 核心操作setAttribute()getAttribute()invalidate()

  4. 安全建议:使用 HttpOnly + Secure Cookie,避免 Session 劫持。

JavaWeb核心技术系列教程(19)——JSP入门及运行原理
谷哥的小弟
10-04 785
JSP(全称JavaServer Pages)是由Sun公司研发的建立在Servlet规范之上的动态网页开发技术。在我们之前的学习中常用HTML显示页面 ,但是,HTML页面是静态的,也就是说:我们无论何时访问该页面看到的总是同样的内容。在不少情况下,静态页面的短板难以实现动态的效果;例如,每次打开新闻页面时浏览次数需动态生成;每次打开火车购票页面看到的车票余额需动态生成;每次打开天气预报页面需动态生成近期天气情况。显然,单纯地依靠HTML时无法完成类似的开发工作。此时,我们可使用Servlet技术将页面动
HttpSession工作原理简介
听风的雨滴
12-29 545
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。  服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。  我们看到,HTTP协议本身并不能支持服务端保存客户端的状态
JavaWeb学习-会话管理系列-7-HttpSession原理
Anthony_tester的博客
05-21 509
这篇开始学习Session技术,Session是会话管理的第二个技术,主要特点是由服务端创建,保存在服务端。每一个浏览器,理论上独占一个session会话。本篇来简单了解下session的原理的代码练习体验下session。 1.session定义 在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意,默认请情况下,一个浏览器独占一个session对象。因此,...
HttpSession原理的理解
缥缈
10-21 1611
当首次使用session时,服务器端要创建session,session是保存在服务器端,而给客户端的session的id(一个cookie中保存了sessionId)。客户端带走的是sessionId,而数据是保存在session中。 当客户端再次访问服务器时,在请求中会带上sessionId,而服务器会通过sessionId找到对应的session,而无需再创建新的session。 ...
HttpSession会话管理原理
夜宿荒寺
10-12 1750
尝试运行HttpServletRequest的getSession()时,Web容器会创建HttpSession对象,关键在于每个HttpSession对象都会有个特殊的ID,称为Session ID,你可以执行HttpSession的getId()来取得Session ID。这个Session ID默认会使用Cookie存放在浏览器中。 每一个HttpSession各有特殊的Session I
JSP运行原理
SYJ_1835_LPM的博客
11-16 1184
JSP运行原理:一、JSP简介:二、JSP运行原理:(1)步骤:(2)web服务器是如何调用并执行一个jsp文件的:(3)jsp简单的翻译规则:三、JSP提供的一些java对象四、生命周期1、JSP编译2、JSP初始化_jspInit(){}3、JSP执行_jspService(){}4、JSP清理_jspDestroy(){}五、可能需要的资料:六、参考: 一、JSP简介: 在很多动态网页中,...
java后端服务运行原理_web服务的后台工作原理
weixin_30350469的博客
02-28 864
1.web容器在Java方面,web容器一般是指Servlet容器。Servlet容器是与Java Servlet交互的web容器的组件。web容器负责管理Servlet的生命周期、把URL映射到特定的Servlet、确保URL请求拥有正确的访问权限和更多类似的服务。综合来看,Servlet容器就是用来运行你的Servlet和维护它的生命周期的运行环境。2.什么是servlet在Java里,Ser...
Servlet运行原理以及生命周期
huifeidewoniu_的博客
12-16 1099
前言: Servlet是一个java编写的程序,此程序是在服务器端运行的, 是按照Servlet规范编写的一个 java类。Servlet是处理客户端的请求,并将处理结果以响应的 方式返回给客户端。Servlet框架 是怎样的呢?它的生命周期又是什么情况呢?这是本文需要探 求的 ????Tomcat执行servlet架构图 从上面可以得出结论: http://localhost:8080/ks/login ---- 1.程序如果一旦打成war包,扔tomc..
HttpSession背景、使用原理、使用环境、生命周期
weixin_45033637的博客
08-05 400
导语: 目前所写项目遇到几个问题:前后端分离下如何验证用户身份、用户登录后如何持久化,虽用cookie解决,但在编写过程中深感代码效率低下,希望寻求更高优质的解决思路,我深入了解了Session的背景、使用原理、使用环境。 1、http协议: 简单了解一下http协议可以更好理解session机制 http协议是 “连接-请求-应答-关闭连接” 模式,是一种无状态协议(http只是一个传输协议)...
JSP概述与运行原理
丹丹的后花园
04-29 1333
JSP到底还需不需要学?哪些人还需要掌握JSP技术?
JSP程序运行原理、文档结构及简单输入输出实例分析
10-23
### JSP程序运行原理 JSP(Java Server Pages)是一种用于开发动态Web页面的技术,它允许开发者将Java代码嵌入到HTML页面中。当一个用户请求一个JSP页面时,JSP引擎(例如Apache Tomcat中的Jasper)会处理这个请求...
ASP.NET运行原理.doc
04-06
在深入了解ASP.NET的运行原理之前,我们先明确一下几个关键概念:IIS(Internet Information Services)、ISAPI(Internet Server Application Programming Interface)、APPDOMAIN以及HttpRuntime。 **IIS**:IIS...
JavaWeb学习(4)(四大域、HttpSession原理(面试)、SessionAPI、Session实现验证码功能)
岁岁岁平安的博客
12-08 1613
本篇博客的内容:web的四大域、HttpSession的底层原理、会话(Session)、HttpSessio接口API的详细、使用HttpSession技术实现验证码与用户注销功能...
Lighthouse Core Web Vitals 指标详解与优化指南
Programming Talk
05-13 815
Google 在 2020 年推出的 Core Web Vitals(核心网页指标)是衡量用户体验质量的关键指标集合,现已成为搜索引擎排名的重要因素。通过深入理解Lighthouse Core Web Vitals的计算原理,开发者可以更有针对性地优化网站性能,提升用户体验和搜索引擎排名。FID 测量从用户首次与页面交互(点击、触摸、按键)到浏览器实际能够响应该交互的时间。模拟与真实数据结合:Lighthouse 使用实验室数据模拟FID,但建议结合真实用户数据(通过Chrome用户体验报告)
如何使用 React Hooks 替代类组件的生命周期方法?
官方推荐
05-12 4825
如何使用 React Hooks 替代类组件的生命周期方法?
如何选择合适的企业级商城系统前端状态管理方案?
万米商云的博客
05-14 515
在复杂的电商场景中,前端状态管理是保障系统高性能、可维护性和数据一致性的核心环节。面对商品数据实时更新、多模块状态共享、高并发请求等挑战,如何选择合适的状态管理方案?
VsCode和AI的前端使用体验:分别使用了Copilot、通义灵码、iflyCode和Trae
Z_Joker_J的博客
05-16 493
本文介绍了四款AI编程助手插件:GitHub Copilot、通义灵码、iFlyCode和Trae。GitHub Copilot是老牌代码补全工具,深度集成于VSCode,支持多语言和复杂项目开发。通义灵码是阿里推出的免费编程助手,优势在于中文支持和教育场景,提供代码解释和优化建议。iFlyCode基于讯飞星火大模型,涵盖软件研发全流程,提供多种智能助理功能。Trae是字节跳动推出的AI集成开发环境,支持多模态和中文界面,提供AI驱动的开发体验。四款插件各有特点,开发者可根据需求选择适合的工具。
Web 架构之负载均衡会话保持
互联网搬砖工老肖
05-13 1514
负载均衡会话保持是一种机制,它确保来自同一个客户端的所有请求在一段时间内都被路由到同一台后端服务器上。这样可以保证客户端在与服务器进行交互时,其会话状态能够得到正确的维护。
29、魔法微前端——React 19 模块化架构
最新发布
m0_60414444的博客
05-16 414
"真正的魔法不在于改变世界,而在于如何优雅地组织代码" —— 霍格沃茨首席架构师。• 🧳 独立包裹机制:每个子应用独立构建部署。- Rust/C++跨语言编译优化。• ⏳ 时空预加载:子应用提前准备。- WASI接口与宿主环境交互"- SIMD指令集性能突破。- 高效内存管理策略。
servlet运行原理
01-06
### Servlet 运行原理详解 #### 1. Servlet 的生命周期管理 Servlet 生命周期由容器控制,主要分为三个阶段:加载与实例化、初始化、服务以及销毁。 - **加载与实例化** 当第一次请求到达时,Web 容器会创建一个新的 Servlet 实例[^2]。对于大多数情况而言,在整个应用程序运行期间只会存在一个 Servlet 实例来处理来自多个客户端的并发请求。 - **初始化** 一旦被实例化之后,`init()` 方法会被调用一次用于完成一些必要的准备工作,比如读取配置文件中的参数等操作。此过程通过 `ServletConfig` 对象传递给 servlet 特定的信息集合[K-V键值对][^4]。 - **服务** 每当接收到新的 HTTP 请求时,都会触发相应的 service() 函数执行具体的业务逻辑;而在这个过程中如果涉及到数据存储,则可以利用 HttpSession 来保存用户的临时状态信息以便后续交互使用[^1]。 - **销毁** 在 Web 应用程序即将停止前,容器将会调用 destroy() 方法释放资源并清理环境,确保所有未完成的任务都能妥善结束[^3]。 #### 2. 多用户环境下 Session 和 Context 的作用范围 针对多位访客同时访问同一页面的情况: - 每位客户都有自己独立的 session 变量副本,这意味着即使两个以上的人在同一时间浏览相同的网页也不会相互干扰到对方的数据; - 而关于上下文 (context),它在整个应用级别内有效,因此可以在不同 servlet 或者 jsp 页面间共享公共属性或对象实例而不必担心冲突问题。 具体来说,服务器端是依靠 cookie 中携带唯一标识符(通常是 JSESSIONID)的方式来进行身份验证和跟踪各个会话之间的区别所在。 ```java // 获取当前用户的Session对象 HttpSession session = request.getSession(); session.setAttribute("username", "John Doe"); String username = (String) session.getAttribute("username"); // 访问全局的应用级ServletContext ServletContext context = getServletContext(); context.setAttribute("appWideProperty", value); Object appValue = context.getAttribute("appWideProperty"); ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

撸猫791

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值