Session机制

Session机制

一、术语Session

在计算机中，尤其是在网络应用中，称为“会话控制”。Session 对象存储特定用户会话所需的属性及配置信息。这样，当用户在应用程序的Web页之间跳转时，存储在Session对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。当用户请求来自应用程序的 Web页时，如果该用户还没有会话，则Web服务器将自动创建一个 Session对象。当会话过期或被放弃后，服务器将终止该会话。Session 对象最常见的一个用法就是存储用户的首选项。例如，如果用户指明不喜欢查看图形，就可以将该信息存储在Session对象中。注意会话状态仅在支持cookie的浏览器中保留。

客户端请求服务端，服务端会为这次请求开辟一块内存空间，这个对象便是 Session 对象，存储结构为 ConcurrentHashMap。Session 弥补了 HTTP 无状态特性，服务器可以利用 Session 存储客户端在同一个会话期间的一些操作记录。

二、Session机制基本介绍

Session机制采用的是在服务器端保持 HTTP 状态信息的方案。为了加速session的读取和存储，web服务器中会开辟一块内存用来保存服务器端所有的session，每个session都会有一个唯一标识sessionid，根据客户端传过来的jsessionid(cookie中)，找到对应的服务器端的session。为了防止服务器端的session过多导致内存溢出，web服务器默认会给每个session设置一个有效期,（30分钟）若有效期内客户端没有访问过该session，服务器就认为该客户端已离线并删除该session。

保存Session的方式：
1）cookie实现

通过一个特殊的cookie，name为JSESSIONID，value为服务器端某个 session的ID，默认的方式。但是当浏览器禁用cookie后session就会失效。

2）url重写

当浏览器Cookie被禁时用。

就是把session的id附加在URL路径的后面。附加的方式也有两种，一种是作为URL路径的附加信息，另一种是作为查询字符串附加在URL后面。

做法：

1、response.encodeURL(String url)用于对表单action和超链接的url地址进行重写

2、response.encodeRedirectURL(String url) 用于对sendRedirect方法后的url地址进行重写。

这两个方法很智能，若浏览器禁用了cookie，就默认会进行url重写(url中带上sessionid)，当用户浏览器没有禁用cookie时，就不在URL后附加sessionid。

用法就是代替response.sendRedirect(String url)。

三、基本原理

当用户发送一个请求到服务器端时，服务器会先检查请求中是否含有sessionid(存在cookie中或者在url中)，

>> 如果不存在sessionid(说明是第一次请求)，就会为该请求用户创建一个session对象，并将该session对象的sessionid（放到响应头的set-cookie中，格式set-cookie:sessionid,下次再请求时cookie中就会有一个name为jsessionid的cookie，value就是sessionid）响应给客户端。

>> 如果存在sessionid，就会在服务器端查找是否有该sessionid对应的session，如果有就使用，没有就创建一个。

所以说，服务器端的session和客户端的cookie是息息相关的，若是没有了cookie，又不做其他处理的话，服务器端的session也没了。

四、常用API

1、getId()方法：得到sessionid。

2、invalidate()方法：让session立刻失效。

3、getAttribute(String key)：根据key获取该session中的value。

4、setAttribute(String key,Object value)：往session中存放key-value。

5、removeAttribute(Stringkey)：根据key删除session中的key-value。

6、getServletContext()：得到ServletContext。

7、setMaxInactiveInterval(long timeout)/getMaxInactiveInterval：设置/获取session的最大有效时间。

8、getCreationTime()：获取session的创建的时间。

9、getLastAccessedTime()：获取session最后一次访问的时间。

10、getRrquestedSessionid： 跟随上个网页cookies或者URL传过来的session。

11、getSession()：从HttpServletRequest中获取session。

12、isNew(): 是否是新的Session，一般在第一次访问的时候出现。

13、isRequestedSessionIdFromCookie()：是否通过Cookies传过来的。

14、isRequestedSessionIdFromURL()：是否通过重写URL传过来的。

15、isRequestedSessionIdValid()：是不是有效的sessionID。

五、基本应用

跨浏览器的会话跟踪

因为cookie在多个浏览器之间是共享的(但是不能跨域)，所以可以将sessionid存在cookie中，再把cookie存入磁盘中，然后在其他浏览器中再次访问该服务器时，就会读取到cookie中的sessionid，从而回到上次访问的页面了。

 

六、Session的缺点

Session 机制有个缺点，比如 A 服务器存储了 Session，就是做了负载均衡后，假如一段时间内 A 的访问量激增，会转发到 B 进行访问，但是 B 服务器并没有存储 A 的 Session，会导致 Session 的失效。