session

session对象

在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下),因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其他程序时,其他程序可以从用户的session中取出该用户的数据为用户服务

Session和Cookie的主要区别在于:

Cookie是把用户的数据写给用户的浏览器 浏览器中
Session技术是把用户的数据写到用户独占的session中 服务器中

Session对象由服务器创建,开发人员可以调用 request对象的getSession方法得到session对象

第一次getSession创建 session对象默认30分钟不用自动摧毁(失效时间可以设置)
xml配置文件中配置<session-config>
<session-timeout>10</session-timeout>
</session-config>单位是分钟
也可以直接写session.invalidate();摧毁session对象
getSession()方法有重载 getSession(false)表示只获取不创建(购物车)

服务器是如何实现一个session为一个用户浏览器服务的

每个创建的session的对象都有一个id号(没有就没有id号),服务器会将id号以cookie的形式回写给浏览器
下次访问会带着id号来访问(session基于cookie)
cookie没有有效期 浏览器关闭id号就没有了 找不到session 记录消失

所以要为cookie设置有效期

HttpSession session = request.getSession();
String sessionid = session.getId();
Cookie cookie = new Cookie("JSESSIONID",sessionid);
cookie.setPath("/xxx");//路径
cookie.setMaxAge(30*60);//设置有效期
response.addCookie(cookie);
session.setAttribute("aaa", "ccc");

cookie禁用怎么办 第一方cookie第三方cookie
解决办法:url重写 
访问首页就创建session 将session对应id号跟在超链接地址后面带给用户
getsession()方法里面会判断有没有cookie和超链接带来的id号,没有再创建session对象

request.getSession();
String url1 = response.encodeURL("/xxx/sss");//encodeURL()会自动在后面加上id号

url重写之前会判断有没有禁用cookie 
第一次访问不知道会重写url,接着发现cookie没有被禁用后面就不重写
重开浏览器就会获得新的id号,无法保存( 重写url 关浏览器无法保存用户session)

一个浏览器创建一个新的session(同一浏览器多选项卡/弹出的新窗口共享一个session)
不同浏览器有区别

显示使用完就没用了 ---- request
显示等会其他地方用 ---- session
过一会还要给别人用 ---- sevrletcontext(聊天室)