SESSION和COOKIE
B站视频链接观看该视频所做的笔记。
-
服务器里有一个map,存储的键值对是<JSessionID,session>。
-
当客户端向服务器发送第一次请求的时候,服务器接收到请求,如果用到了session的话,服务器会生成一个与这次对话相关联的session,并且生成一个32位的JSessionID,以键值对<JSessionID,session>的方式存储到map中,然后服务器响应客户端的请求,会将JSessionID作为cookie<JSessionID,32位值>放在响应报头中发送给客户端,然后客户端会将该cookie缓存起来(即过期时间为会话结束时)。在客户端再次向该服务器发送请求时,会将该cookie放在请求头中发送给服务器。然后服务器在根据该cookie中的JSessionID从map中查找对应的session。
-
session会失效,默认时间时30分钟,但是是从最后一次请求开始计算。可以使用session.invalidate()方法使session失效,但是该session不会为null。
-
如果禁用Cookie,那么每次的请求都会当作是第一次请求,服务器每次会在响应报头里返回JSESSIONID,但是浏览器在发送请求的时候不会在请求头带上Cookie.
-
会话:
对于浏览器来说,窗口得到打开到关闭就是一次会话,在窗口关闭后会话就结束了。
但是对于服务器来说,只有当session失效了,对于服务器来说这次会话才算结束。在服务器端的session失效前,仍然可以通过在url里携带JSEESIONID来访问到之前会话对应的session。
-
Cookie禁用后,Session的跟踪问题
重定向使用response.encodeRedirectURL()方法,
非重定向使用response.encodeURL()方法,
会自动在url上添加jsessionid。但是该处理方法不安全,因为将jsessionid暴露在地址栏了。所以现在很多站点都不可以禁用Cookie。