1.会话管理的基本原理
HTTP是无状态的连接,所以服务器处理完一次请求后,浏览器的下次请求的处理就是一次新的请求处理,即HTTP无法处理多次请求/响应之间的数据联系
会话管理其实就是数据的管理
会话管理的几种方式
1.隐藏字段的使用
在关掉网页后,就会失去先前的请求信息,所以这种方式仅适合用于一些简单的状态管理
2.cookie的使用
web应用程序会话管理的基本方式,就是在此次请求中,将下次请求时服务器所应知道的信息先响应给浏览器,由浏览器在之后的请求中再一并发送给应用程序,如此应用程序就可以得知多次请求间的相关资料
http中:
响应中使用set-cookie标头设置,服务器端
请求中使用cookie设置,浏览器端,服务器端使用getCookie取得
(多个Cookie就是之间用;隔开)
如:
Set-Cookie
_javaeye3_session_=BAh7CDoQX2NzcmZfdG9rZW4iMW9HWlVPRkxCTFZJQitSS2lmRE5lQTBkbm9rSjhaeDZyMVJuOFBTdTVRW
jg9Ogx1c2VyX2lkaQOWag46D3Nlc3Npb25faWQiJTJiOTY4N2MyZWE2NWJkNmVjNWQ3ZmMxODhjMGEwYzcy--9a3ae183b38fc074fe1538ad4719245f8eebebe4
;
domain=.iteye.com;
path=/; HttpOnly
Cookie
_javaeye_cookie_id_=1318156621552103; __utma=191637234.1174786066.1318911811.1335851767.1336107035.38
; __utmz=191637234.1336107035.38.33.utmcsr=baidu|utmccn=(organic)|utmcmd=organic|utmctr=iteye; lzstat_uv
=2377518682192423256|729007@2719331@0; remember_me=no; _javaeye3_session_=BAh7CDoQX2NzcmZfdG9rZW4iMW
9HWlVPRkxCTFZJQitSS2lmRE5lQTBkbm9rSjhaeDZyMVJuOFBTdTVRWjg9Og9zZXNzaW9uX2lkIiUyYjk2ODdjMmVhNjViZDZlYzVkN2ZjMTg4YzBhMGM3MjoMdXNlcl9pZGkDlmoO--7fa67852f6eff9f3275076e373e686380b065420
; __utmb=191637234.2.10.1336107035; __utmc=191637234
浏览器保存的Cookie有此Cookie的所对应的服务器主机
3.URL重写的使用
URL重写就是GET请求参数的应用。即服务器响应浏览器上一次请求的时候,将某些相关的信息以超链接的方式响应给浏览器。
4.HttpSession会话管理
把会话期间需要的信息保存在HttpSession属性中。
getSession()时,web容器会建立一个HttpSession对象,并且每个HttpSession对象都会有一个Session ID,这个Session ID默认使用Cookie(set-cookie)将其存放在浏览器中。在Tomcat中,Cookie的名称是JSESSIONID。
当浏览器请求应用程序时,会将Cookie中存放的Session ID一并发送给应用程序,Web容器根据Session ID来找出对应的HttpSession对象,如此就可以取得各个浏览器的会话数据。
Web容器存储Session ID的Cookie被设置为关闭浏览器就会失效,,所以重新打开浏览器请求应用程序时,通过getSession()所取得的是新的HttpSession对象。这时原来的HttpSession就会无效,必须执行invalidate()让其失效,不然其会等到设置的失效时间过后才被容器销毁并回收。
以上也意味着,关闭浏览器后若想保存信息,必须自己操作Cookie来达成。
Ps:
HttpSession对象会占据内存空间,所以其属性不能保存大型的对象,必要时可将属性移除,不使用HttpSession,执行invalidate()让HttpSession失效。
可以执行setMaxInactiveInterval()方法,设置浏览器在多久没有请求应用程序的情况下,HttpSession就会自动失效,单位是秒。也可以在web.xml 中设置,但设置的单位是分
<session-config>
<session-timeout>30</session-timeout>
</session-config>
5.HttpSession与URL重写
HttpSession默认是使用Cookie来保存Session ID,如果浏览器禁用了Cookie功能,则需要除了使用Cookie外,搭配URL重写的方式,向浏览器响应一段超链接,URL之后附加Session ID。用户点击超链接之后,则将Session ID以GET请求的方式发送给web应用程序。
如果使用URL重写的方式来发送Session ID,则可以使用HttpSeverletResponse的encodeURL()来协助产生所需的URL重写。
当容器尝试取得HttpSession实例时,若可以从HTTP请求中取得带有Session ID的Cookie,encodeURL()会将设置给它的URL原封不动的输出。若无法得到Cookie(没有Cookie项)(通常是浏览器禁用了Cookie),encodeURL()会自动产生带有Session ID的URL重写。
Ps:
浏览器第一次请求网站时(本地没有服务器应用程序的Cookie),请求中没有Cookie项,所以容器并不知道浏览器是否禁用Cookie,所以容器的做法( 响应 )是Cookie(发送set-cookie)与URL重写都做.
因此若servelt有以下的语句,无论浏览器有无禁用Cookie,第一次请求时,都会显示编上Session ID的URL。
request.getSession() ; //默认的设置set-cookie
out.println(response.encodeURL("index.jsp")) ; //请求中没有cookie标头则加上Session ID
当再次请求时,如果浏览器没有禁用Cookie,则容器可以从Cookie中取得Session ID,此时encodeURL()就只输出index.jsp.若禁用了Cookie,encodeURL会加上Session ID
另一方面HttpServletResponse的encodeRedirectURL()方法进行重定向时,可以在浏览器重定向时,在URL(这里是请求的URL)上加上Seesion ID