Session工作原理(详解)

最新推荐文章于 2024-07-26 15:46:51 发布
最新推荐文章于 2024-07-26 15:46:51 发布
阅读量6.4k 收藏 19
点赞数 6
文章标签: java tomcat spring java-ee maven
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/handsome1_/article/details/121718248
版权
本文详细介绍了Servlet中的Session技术,包括其工作原理、生命周期、常用API以及如何创建和获取Session。Session用于维护服务器与客户端之间的会话状态,常用于用户登录信息的保存。此外,还探讨了Session如何防止表单重复提交,包括隐藏域和Token的使用,确保数据的安全提交。
摘要由CSDN通过智能技术生成

1.概述

       存在服务器的一种用来存放用户数据的类哈希表结构,当浏览器第一次发送请求的时候服务器会生成一个hashtable和一个sessionid,sessionid来唯一标识这个hashtable,响应的时候会通过一个响应头set-cookie返回给浏览器,浏览器再将这个sessionid存储在一个名为JESSIONID的cookie中。
       接着浏览器在发送第二次请求时,就会带上这个cookie,这个cookie会存储sessionid一并发送给了一个服务,服务器再从请求中提取出对应的一个sessionid并和当前保存的所有的一个sessionid去进行一个对比然后找到这个sessionid对应的用户信息。

2.Session的基本概念

①Session就是一个接口(HttpSession)。

②Session就是会话,它是用来维护服务器与客户端之间关联的一种技术

③每个客户端都有自己的一个Session会话。

④Session会话中,我们经常用来保存用户登录之后的信息

3.常用的API

①获取Session中的数据   

 Object getAttribute(String var1)

②往Session中保存数据

void setAttribute(String var1, Object var2)

③获取ServletContext对象 

ServletContext getServletContext()

④判断Session是否为新的

  boolean isNew()

⑤获取session对象的id值 

 String getId()

 ⑥销毁该Session

 void invalidate()

⑦获取Session中的默认超时时长

 int getMaxInactiveInterval()

 ⑧设置Session中的默认超时时长

void setMaxInactiveInterval(int var1)

 4.如何创建和获取Session

BaseServlet

public abstract class BaseServlet extends HttpServlet {

    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        doPost(req, resp);
    }
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // 解决post请求中文乱码问题
        // 一定要在获取请求参数之前调用才有效
        req.setCharacterEncoding("UTF-8");
        // 解决响应中文乱码问题
        resp.setContentType("text/html; charset=UTF-8");

        String action = req.getParameter("action");
        try {
            // 获取action业务鉴别字符串,获取相应的业务 方法反射对象
            Method method = this.getClass().getDeclaredMethod(action, HttpServletRequest.class, HttpServletResponse.class);
//            System.out.println(method);
            // 调用目标业务 方法
            method.invoke(this, req, resp);
        } catch (Exception e) {
            e.printStackTrace();
        }
    }

}

 SessionServlet

public class SessionServlet extends BaseServlet{
   
    protected void createOrGetSession(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        //创建和获取session会话对象
        HttpSession session = req.getSession();
        //判断当前Session会话对象是否是刚创建出来的
        Boolean isNew = session.isNew();
        //获取session对象的id值
        String id = session.getId();
        resp.getWriter().write("得到session,它的id是:" + id + "<br/>" );
        resp.getWriter().write("得到session,它是否为新的:" + isNew + "<br/>");

    }    

/**
     * 往Session中保存数据
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    protected void setAttribute(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        req.getSession().setAttribute("key1","value1");
        resp.getWriter().write("已经往Session中保存了数据!");
    }

    /**
     * 获取session中的数据
     * @param req
     * @param resp
     * @throws ServletException
     * @throws IOException
     */
    protected void getAttribute(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        Object attribute = req.getSession().getAttribute("key1");
        resp.getWriter().write("从session中获取的数据是:" + attribute);

    }

    

 
}

session.html

<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="cache-control" content="no-cache" />
<meta http-equiv="Expires" content="0" />
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Session</title>
	<base href="http://localhost:8080/cookie_session/">
<style type="text/css">

	ul li {
		list-style: none;
	}
	
</style>
</head>
<body>
	<iframe name="target" width="500" height="500" style="float: left;"></iframe>
	<div style="float: left;">
		<ul>
			<li><a href="sessionServlet?action=createOrGetSession" target="target">Session的创建和获取(id号、是否为新创建)</a></li>
		</ul>
	</div>
</body>
</html>

5.Session的生命周期

SessionServlet

 protected void defaultLife(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // 获取了Session的默认超时时长
        int maxInactiveInterval = req.getSession().getMaxInactiveInterval();

        resp.getWriter().write("Session的默认超时时长为:" + maxInactiveInterval + " 秒 ");

    }

session.html

<ul>
					<li><a href="sessionServlet?action=defaultLife" target="target">Session的默认超时及配置</a></li>
					<li><a href="sessionServlet?action=life3" target="target">Session3秒超时销毁</a></li>
					<li><a href="sessionServlet?action=deleteNow" target="target">Session马上销毁</a></li>
				</ul>

在tomcat的conf文件夹中的web.xml文件中默认有以下的配置,它就表示配置了当前 Tomcat 服务器下所有的 Session超时配置默认时长为: 30 分钟。

<session-config>
<session-timeout>30</session-timeout>
</session-config>

我们可以在SessionServlet中添加方法进行设置

protected void life3(HttpServletRequest req, HttpServletResponse resp) throws ServletException,
IOException {
    // 先获取 Session 对象
    HttpSession session = req.getSession();
    // 设置当前 Session3 秒后超时
    session.setMaxInactiveInterval(3);
    resp.getWriter().write("当前 Session 已经设置为 3 秒后超时");
}

Session马上被超时

protected void deleteNow(HttpServletRequest req, HttpServletResponse resp) throws ServletException,
IOException {
    // 先获取 Session 对象
    HttpSession session = req.getSession();
    // 让 Session 会话马上超时
    session.invalidate();
    resp.getWriter().write("Session 已经设置为超时(无效) ");
}

6.使用Session可以解决一下问题

案例一:使用Session完成用户简单登录

先创建User类

  public class User {
      private String username = null;
      private String password = null;
      
      public User() {
      }
  ​
      public User(String username, String password) {
          super();
          this.username = username;
          this.password = password;
      }
  ​
  ......各种set get方法

使用简单的集合模拟一个数据库

 public class UserDB {
        private static List<User> list = new ArrayList<>();

        static {
            list.add(new User("admin", "888"));
            list.add(new User("aaa", "111"));
            list.add(new User("bbb", "222"));
        } //通过用户名密码查找用户

        public static User find(String username, String password) {
            for (User user : list) {
                if (user.getUsername().equals(username) && user.getPassword().equals(password)) {
                    return user;
                }
            }
            return null;
        }
    }

表单提交我们写在jsp里面(模仿即可后期说jsp)

  public class UserDB {
      private static List<User> list =new ArrayList<>();
      
      static {
          list.add(new User("admin","888"));
          list.add(new User("aaa","111"));
          list.add(new User("bbb","222"));
      }
      
      //通过用户名密码查找用户
      public static User find(String username, String password) {
          
          for (User user:list) {
              if (user.getUsername().equals(username)&& user.getPassword().equals(password)) {
                  return user;
              }
          }
          return null;
      }
  }

获取表单提交的数据,查找数据库是否有相对应的用户名和密码

  protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
          response.setContentType("text/html;charset=UTF-8");
          
          String username = request.getParameter("username");
          String password = request.getParameter("password");
          
          User user = UserDB.find(username, password);
          
          //如果找不到,就是用户名或者密码出错了
          if (user == null) {
              response.getWriter().write("用户名或者密码错误,登陆失败 !");
              return;
          }
          
          //标志着用户已经登录
          HttpSession httpSession = request.getSession();
          httpSession.setAttribute("user", user);
          
          //跳转到其他页面,告诉用户已经登录成功
          response.sendRedirect(response.encodeURL("test.jsp"));
      }

案例二:利用Session防止表单重复提交

重复提交的危害:

在投票的网页上不停地提交,实现了刷票的效果。

注册多个用户,不断发帖子,扰乱正常发帖秩序。

常见的两种重复提交

第一种:后退再提交

第二种:网络延迟,多次点击提交按钮

略图

解决方案:

网络延迟问题:

对于第二种网络延而造成多次提交数据给服务器,其实是客户端的问题,我们可以使用javaScript来防止

→ 当用户第一次点击提交按钮是,把数据提交给服务器,当用户再次点击提交按钮时,就不把数据提交给服务器了

监听用监听事件。只能让用户提交一次表单:

  <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
  <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
  <html>
  <head>
  <title>表单提交</title>
  <script type="text/javascript">
      //定义一个全局标识量:是否已经提交过表单数据
      var isCommitted = false;
  ​
      function doSubmit() {
          //false表示的是没有提交过,于是就可以让表单提交给Servlet
          if (isCommited == false){
              is Commited = true;
              return true;
          }else{
              return false;
          }   
      }
  </script>
  </head>
  <body>
      <form action="/web-01/Lservlet" method="post" onsubmit="return doSubmit()">
          用户名:<input type="text" name="username"><br /> <input
              type="submit" value="提交">
      </form>
  </body>
  </html>

刷新后退再提交问题:

我们知道Session可以用来标识一个用户是否登陆了。Session的原理也说了:不同的用户浏览器会拥有不同的Session。而request和ServletContext为什么就不行呢?request的域对象只能是一次http请求,提交表单数据的时候request域对象的数据取不出来。ServletContext代表整个web应用,如果有几个用户浏览器同时访问,​ServletContext域对象​的数据会被多次覆盖掉,也就是说域对象的数据就毫无意义了。

此时,我们就想到了,在表单中还有一个隐藏域,可以通过隐藏域把数据交给服务器。

A:判断Session域对象的数据和jsp隐藏域提交的数据是否对应。

B:判断隐藏域的数据是否为空【如果为空,就是直接访问表单处理页面的Servlet】

C:判断Session的数据是否为空【servlet判断完是否重复提交,最好能立马移除Session的数据,不然还没有移除的时候,客户端那边儿的请求又来了,就又能匹配了,产生了重复提交。如果Session域对象数据为空,证明已经提交过数据了!】

D:我们向Session域对象的存入数据究竟是什么呢?简单的一个数字?好像也行啊。因为只要Session域对象的数据和jsp隐藏域带过去的数据对得上号就行了呀,反正在Servlet上判断完是否重复提交,会立马把Session的数据移除掉的。更专业的做法是:向Session域对象存入的数据是一个随机数【Token--令牌】 

public class TokenProcessor {
        private TokenProcessor() {
        } ​
        private final static TokenProcessor TOKEN_PROCESSOR = new TokenProcessor(); ​

        public static TokenProcessor getInstance() {
            return TOKEN_PROCESSOR;
        } ​

        public String makeToken() { 
            // 这个随机生成出来的Token的长度是不确定的 
            String token = String.valueOf(System.currentTimeMillis() + new Random().nextInt(99999999));
            try { 
                // 我们想要随机数的长度一致,就要获取到数据指纹 
                MessageDigest messageDigest = MessageDigest.getInstance("md5");
                byte[] md5 = messageDigest.digest(token.getBytes()); ​ // 如果我们直接 
                // return new String(md5)出去,得到的随机数会乱码 
                // 因为随机数是任意的01010101010,在转换成字符串的时候,会差gb2312的码表 
                // gb2312码表不一定支持该二进制数据,得到的就是乱码 
                // 于是经过base64编码成了明文的数据 
                BASE64Encoder base64Encoder = new BASE64Encoder();
                return base64Encoder.encode(md5);
            } catch (NoSuchAlgorithmException e) {
                e.printStackTrace();
            } return null;
        }
    }

创建Token随机数,利用getRequestDispatcher跳转到jsp页面(地址还是Servlet的)

      protected void doGet(HttpServletRequest request, HttpServletResponse response)
              throws ServletException, IOException {
          // 生出随机数
          TokenProcessor tokenProcessor = TokenProcessor.getInstance();
          String token = tokenProcessor.makeToken();
  ​
          // 将随机数存进Session中
          request.getSession().setAttribute("token", token);
  ​
          // 跳转到显示页面
          request.getRequestDispatcher("/login3.jsp").forward(request, response);

Jsp隐藏域获取到Session的值

  <form action="/web-01/Mservlet" >
  ​
      用户名:<input type="text" name="username">
      <input type="submit" value="提交" id="button">
  ​
      <%--使用EL表达式取出session中的Token--%>
      <input type="hidden" name="token" value="${token}" >
  ​
  </form>

在处理表单提交页面中判断:jsp隐藏域是否有带值过来,Session中的值是否为空,Session中的值和jsp隐藏域带过来的值是否相等

      protected void doGet(HttpServletRequest request, HttpServletResponse response)
              throws ServletException, IOException {
          response.setContentType("text/html;charset=UTF-8");
          PrintWriter printWriter = response.getWriter();
          String serverValue = (String) request.getSession().getAttribute("token");
          String clienValue = request.getParameter("token");
  ​
          if (serverValue != null && clienValue != null && serverValue.equals(clienValue)) {
              printWriter.write("处理请求");
              // 清除Session域对象数据
              request.getSession().removeAttribute("token");
          } else {
              printWriter.write("请不要重复提交数据");
          }
      }

实现原理是非常简单的

在session域中存储一个token

然后前台页面的隐藏域获取得到这个token

在第一次访问的时候,我们就判断seesion有没有值,如果有就比对。对比正确后我们就处理请求,接着就把session存储的数据给删除了

等到再次访问的时候,我们session就没有值了,就不受理前台的请求了!

数泛西舟
关注
  • 6
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
详解SpringBoot中Session超时原理说明
08-29
SpringBoot 中 Session 超时原理说明 在 SpringBoot 中,Session 超时是指在一定时间内没有任何操作,Session 就会超时失效,导致用户需要重新登录才可以继续访问页面。这是因为 Session 的超时时间是有限制的,...
JSP 中Session详解及原理分析
10-19
本文将深入讲解JSP中Session的原理和使用方法,并对比它与Cookie的区别。 首先,我们来了解Session的基本概念。Session是服务器端的一种机制,用于存储特定用户会话期间的信息。每当用户打开浏览器访问网站,服务器...
Session工作原理
嘉会的博客
08-17 2万+
session是服务器端的一个集合,可以存储任何东西。session最重要的特性,是可以识别客户。 1.Session工作原理 当我们的Servlet需要使用Session时,执行下面的代码 HttpSession session = request.getSession();//取出session session.setAttribute("goods1","Scoat");//se...
Session详解
最新发布
yjp1240201821的博客
07-26 379
本文主要介绍Session详解,从其概念、应用场景、存储方式等等帮助深刻理解。
session工作原理
weixin_30372371的博客
07-13 271
一直在使用session存储数据,一直没有好好总结一下session的使用方式以及其工作原理,今天在这里做一下梳理。这里的介绍主要是基于php语言,其他的语言操作可能会有差别,但基本的原理不变。 1.在php中如何操作session: session_start(); //使用该函数打开session功能 $_SESSION  //使用预定义全局变量操作数据 使用u...
session工作原理
perddy的专栏
04-25 1368
一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以 称之为一个session。有时候我们可以看到这样的话“在一个浏览器会话期间
分布式Session的几种实现方式
miaoao611的博客
07-14 984
一。分布式Session的几种实现方式 1.基于数据库的Session共享 2.基于NFS共享文件系统 3.基于memcached 的session,如何保证 memcached 本身的高可用性? 4. 基于resin/tomcat web容器本身的session复制机制 5. 基于TT/Redis 或 jbosscache 进行 session 共享。 6. 基于cookie 进行se
Spring @Transactional工作原理详解
08-28
下面我们将深入探讨`@Transactional`的工作原理,以及其与JPA、持久化上下文(Persistence Context)和数据库事务的关系。 首先,`@Transactional`的使用简化了事务管理。当在方法上标注`@Transactional`时,Spring...
asp.net中session的原理及应用详解
01-20
以下是对Session原理和应用的详细解释: 1. **Session原理**:当用户首次访问网站时,服务器创建一个新的Session对象,并为其分配一个唯一的SessionID。这个ID通过一个名为ASP.NET_SessionId的Cookie返回给客户端的...
session工作原理
m0_68464502的博客
06-13 1233
Session 是保存在服务器端的一组与用户相关的数据,它使用一种称为会话跟踪的技术,可以在多个请求之间存储和共享数据。需要注意的是,Session 的过期时间一般会设置,一旦过期,Session 在服务器端就会被销毁。1. 当用户首次访问 Web 应用时,Web 应用会自动生成一个唯一的 Session ID,将这个 Session ID 以 Cookie 的形式返回给浏览器。3. 当用户访问 Web 应用中的其他页面时,浏览器会自动将 Cookie 中的 Session ID 发送给服务器端。
session原理
02-24
session原理 session原理 session原理 session原理 session原理
session工作原理简介
weixin_30408739的博客
06-26 1247
session是什么 首先,我们需要知道session是什么。有比较专业的人将session称之为会话控制。说实在的,如果这么说的话,我也不清楚session到底算是什么。    其实session是一个存在服务器上的类似于一个散列表格的文件。里面存有我们需要的信息,在我们需要用的时候可以从里面取出来。类似于一个大号的map吧,里面的键存储的是用户的sess...
大话Session
weixin_30632899的博客
02-19 428
【原创】转载请保留出处:shoru.cnblogs.com 晋哥哥的私房钱 引言 在web开发中,session是个非常重要的概念。在许多动态网站的开发者看来,session就是一个变量,而且其表现像个黑洞,他只需要将东西在合适的时机放进这个洞里,等需要的时候再把东西取出来。这是开发者对session最直观的感受,但是黑洞里的景象或者说session内部到底是怎么工作的呢?当笔者向身边...
session的根本原理及安全性
热门推荐
白一梓的专栏
05-25 2万+
yunnysunny 退出账号 当前文档 删除文档导出 Markdown导出 PDF 系统 设置下载离线客户端使用说明快捷帮助切换至免费版 Unsaved session的安全性对于vireio若干问题的解答直播登录验证文档关于淘宝同学接入的若干问题flashvar参数设置flashvar参数设置
Session工作原理和应用详解
Hello, New World!
04-22 9948
Session工作原理和应用详解1. Session 原理1.1 Session 背景信息1.2 Session 工作原理1.3 Session 创建、获取、销毁1.4 Session 共享范围1.5 Session 生命周期1.6 HTTP请求中 4 大共享数据方式对比2. Session 应用2.1 案例:使用验证码登陆和共享用户信息 1. Session 原理 1.1 Session 背景...
ASP.NET页面剖析:Session工作原理详解
"Session工作原理-asp页面剖析" 在ASP.NET中,Session是一个非常重要的概念,它用于在用户的不同页面请求之间存储和管理用户特定的数据。Session工作原理主要涉及以下几个方面: 1. **SessionID**: 每个用户在与...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

数泛西舟

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值