在J2EE的开发与之用中,session所起到的作用是有目共睹的。它所能方便我们与服务器之间进行会话,就好像人与人之间交流一样。一个会话用一个session来表示,这样就可以保证服务器不会被忙晕了。谈到session,就很容易让人产生一个误区,那就是:是不是我开一个页面就有一个会话?如果我关掉了与服务器之间的会话(通常是以关掉浏览器的方式来实现)我的这个session就相应的不存在了?是不是有了session,服务端就知道我在干什么(因为只有这样他才知道我想要什么)?
由于日常的习惯和一些惯性思维,就很容易涉入这些误区。其实事实并非如此。
在B/S(浏览器/服务器)体系里面,实现服务端与客户端通信的,的确是采取一个用户一个session的方式,用户通过在浏览器端的一些动作来达到与服务器的“交流”,似乎服务器能知道我在做什么似的。其实不然。我们的浏览器大多数都是支持W3C标准的,http协议都是以无状态的形式存在,而服务端是时刻都在“活动”,真正实现浏览器与服务端通信的其实是请求的提交。服务端则根据请求URL的不同响应不同的内容。也就是说,如果浏览器没有发出请求,服务端是不知道用户在做什么的。Session是驻留在服务端内存当中的,记录了客户端的一些基本信息。
由于必须为每个session都分配相应的内存资源,这就要求有条件的去限制session的数量。试想一下,如果平均一个session占1M的内存,那么当同时在线的用户很多的时候我们的服务器可能会崩溃掉。所有要采取很多种方法去尽量减轻服务器端的压力。
那么浏览器是怎么知道我的这个session的呢?当用户向服务端提交一个请求之后,服务会自动为它分配一个唯一的session标示id。然后通过response响应到用户的浏览器,在存储在用户浏览器的cookie中,只要用户打开网页的方式是采取window.open的方式,而不是,直接打开新的浏览器,他的这个session id是多页面共用的。当然,有很多浏览器的cookie为了考虑安全性而禁掉。虽然有的浏览器会自动去开,但是并不是全部。为了考虑更好的兼容性,可以将这个session的id采取在URL后面加上?jsessionid的方式带上,这样就确保了用户会话的流畅性。
那么,当用户关掉所有的浏览器之后,是不是这个session会话就会销毁呢?
答案是否定的。前面已经说到,客户端的浏览器与服务器其实是无状态连接。也就意味着,只要用户不向服务器端发送请求,服务器端是永远不知道用户此刻的状态。这样就遇到了新的问题,那就是:要是不销毁这些session,一直让它存在着,这不是更大程度的加大了服务器的负担么?是的。所以有了新的机制,那就是session失效的机制。在J2EE开发中,应用服务器通常默认的session失效时间是30分钟,但是也可以在部署描述符web.xml中通过这样的一条语句来配置这个失效时间:<session-config><session-timeout>30</session-timeout></session-config>。当用户在指定的失效时间内没有向服务端提交请求,session将会被应用服务器销毁。用户必须从重新登录来获得新的session。有时候为了方便用户在退出的时候更快速的销毁session,一般情况下会提供一个发送请求的方式去调用session.invalidate();去销毁这个session。其实用户关闭浏览器只是在用户的机器上失去了这个session的id。服务端是不知道用户的浏览器关闭了的,只能等失效时间到了就去销毁这个session了。要想在用户关闭浏览器的时候就去销毁session并不是没有办法。我们可以通过js来监听用户的关闭操作,一旦触发,就可以在这个js事件中手动发送一个销毁session的请求。
当然,以上只是讲了些session在客户端与服务端之间的用处。其实session的用处远远不止于此。在J2EE中,session是仅次于application的作用范围。我们可以利用它在我们整个会话中实现数据的共享,如果是jsp页面,可以使用其内置的隐藏对象session来设置和获取值,在多个页面之间共享。Session在自定义标签里面的使用可以使得代码的重用性达到更好。当然,如果是单个页面中的数据共享最好还是采用pageContext。这就涉及到J2EE中的几个表示范围的对象了。application可以用来在整个应用中共享数据,request可以在用户的请求与请求之间共享数据,而pageContext则可以在通页面中共享数据。他们之间也是各有千秋。session可以以单个用户的所有操作进行数据共享,这样既做到了不会干扰其他用户的操作(因为session的id在服务端是不会重复的),又可以让整个会话之间的数据传递变的更多元化、更方便。但是,session中存储的数据越多对服务端的压力也越大,这样就会影响到用户的访问速度。通常情况下,session的大小不应该超过10M,一个普通的对象大概占用1KB的大小,也就是说一个session最多不要放超过1万个对象的实例。在我们的应用中,需要传递的对象数量有很多,很可能会超过这个数量,这就需要我们在一些地方借助与request和pageContext来暂存数据,为session分忧!
同理,一旦对象或者数据存储在此session中,只要这个session的id不失去,就可以在应用代码中通过request来获取这个session,如果有不法之徒采取这种方式,那么就会显得不安全了,这就是为什么一些保密性要求比较高的网站会尽快的去销毁session的原因。
在servlet、自定义标签中都可以根据request对象来获得session,有了session就可以将处理出来的数据进行保存、获取等各种方便开发的动作了。有点值得注意的就是此处需要用HttpServletRequest对象通过getSession()的方法来获得session了。有了session的帮忙,自定义标签可以写的更具有通用性、扩展性。标签体组装数据,然后通过session来存储用户的这些数据,让开发更自由。
在用户发送请求的时候,通常会在服务端先过滤一下。常用的方式是采取Filter过滤器过滤,在filter中也可以通过request请求来获得session。例如在权限过滤中有一种方式就是当用户登录之后,将用户的一些状态保存在此用户的session中,例如一些用户可以访问的资源等。这样就可以利用session让每次用户访问的时候都可以在filter中对用户权限进行过滤。
总之,我的见解就是,session的失去不等于销毁、session的存在是服务器、session的标示是id、session的作用很大、session不应该被误解!
--作者:龚世俊
由于日常的习惯和一些惯性思维,就很容易涉入这些误区。其实事实并非如此。
在B/S(浏览器/服务器)体系里面,实现服务端与客户端通信的,的确是采取一个用户一个session的方式,用户通过在浏览器端的一些动作来达到与服务器的“交流”,似乎服务器能知道我在做什么似的。其实不然。我们的浏览器大多数都是支持W3C标准的,http协议都是以无状态的形式存在,而服务端是时刻都在“活动”,真正实现浏览器与服务端通信的其实是请求的提交。服务端则根据请求URL的不同响应不同的内容。也就是说,如果浏览器没有发出请求,服务端是不知道用户在做什么的。Session是驻留在服务端内存当中的,记录了客户端的一些基本信息。
由于必须为每个session都分配相应的内存资源,这就要求有条件的去限制session的数量。试想一下,如果平均一个session占1M的内存,那么当同时在线的用户很多的时候我们的服务器可能会崩溃掉。所有要采取很多种方法去尽量减轻服务器端的压力。
那么浏览器是怎么知道我的这个session的呢?当用户向服务端提交一个请求之后,服务会自动为它分配一个唯一的session标示id。然后通过response响应到用户的浏览器,在存储在用户浏览器的cookie中,只要用户打开网页的方式是采取window.open的方式,而不是,直接打开新的浏览器,他的这个session id是多页面共用的。当然,有很多浏览器的cookie为了考虑安全性而禁掉。虽然有的浏览器会自动去开,但是并不是全部。为了考虑更好的兼容性,可以将这个session的id采取在URL后面加上?jsessionid的方式带上,这样就确保了用户会话的流畅性。
那么,当用户关掉所有的浏览器之后,是不是这个session会话就会销毁呢?
答案是否定的。前面已经说到,客户端的浏览器与服务器其实是无状态连接。也就意味着,只要用户不向服务器端发送请求,服务器端是永远不知道用户此刻的状态。这样就遇到了新的问题,那就是:要是不销毁这些session,一直让它存在着,这不是更大程度的加大了服务器的负担么?是的。所以有了新的机制,那就是session失效的机制。在J2EE开发中,应用服务器通常默认的session失效时间是30分钟,但是也可以在部署描述符web.xml中通过这样的一条语句来配置这个失效时间:<session-config><session-timeout>30</session-timeout></session-config>。当用户在指定的失效时间内没有向服务端提交请求,session将会被应用服务器销毁。用户必须从重新登录来获得新的session。有时候为了方便用户在退出的时候更快速的销毁session,一般情况下会提供一个发送请求的方式去调用session.invalidate();去销毁这个session。其实用户关闭浏览器只是在用户的机器上失去了这个session的id。服务端是不知道用户的浏览器关闭了的,只能等失效时间到了就去销毁这个session了。要想在用户关闭浏览器的时候就去销毁session并不是没有办法。我们可以通过js来监听用户的关闭操作,一旦触发,就可以在这个js事件中手动发送一个销毁session的请求。
当然,以上只是讲了些session在客户端与服务端之间的用处。其实session的用处远远不止于此。在J2EE中,session是仅次于application的作用范围。我们可以利用它在我们整个会话中实现数据的共享,如果是jsp页面,可以使用其内置的隐藏对象session来设置和获取值,在多个页面之间共享。Session在自定义标签里面的使用可以使得代码的重用性达到更好。当然,如果是单个页面中的数据共享最好还是采用pageContext。这就涉及到J2EE中的几个表示范围的对象了。application可以用来在整个应用中共享数据,request可以在用户的请求与请求之间共享数据,而pageContext则可以在通页面中共享数据。他们之间也是各有千秋。session可以以单个用户的所有操作进行数据共享,这样既做到了不会干扰其他用户的操作(因为session的id在服务端是不会重复的),又可以让整个会话之间的数据传递变的更多元化、更方便。但是,session中存储的数据越多对服务端的压力也越大,这样就会影响到用户的访问速度。通常情况下,session的大小不应该超过10M,一个普通的对象大概占用1KB的大小,也就是说一个session最多不要放超过1万个对象的实例。在我们的应用中,需要传递的对象数量有很多,很可能会超过这个数量,这就需要我们在一些地方借助与request和pageContext来暂存数据,为session分忧!
同理,一旦对象或者数据存储在此session中,只要这个session的id不失去,就可以在应用代码中通过request来获取这个session,如果有不法之徒采取这种方式,那么就会显得不安全了,这就是为什么一些保密性要求比较高的网站会尽快的去销毁session的原因。
在servlet、自定义标签中都可以根据request对象来获得session,有了session就可以将处理出来的数据进行保存、获取等各种方便开发的动作了。有点值得注意的就是此处需要用HttpServletRequest对象通过getSession()的方法来获得session了。有了session的帮忙,自定义标签可以写的更具有通用性、扩展性。标签体组装数据,然后通过session来存储用户的这些数据,让开发更自由。
在用户发送请求的时候,通常会在服务端先过滤一下。常用的方式是采取Filter过滤器过滤,在filter中也可以通过request请求来获得session。例如在权限过滤中有一种方式就是当用户登录之后,将用户的一些状态保存在此用户的session中,例如一些用户可以访问的资源等。这样就可以利用session让每次用户访问的时候都可以在filter中对用户权限进行过滤。
总之,我的见解就是,session的失去不等于销毁、session的存在是服务器、session的标示是id、session的作用很大、session不应该被误解!
--作者:龚世俊
扫一扫
390
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
