概念:
● HTTP协议是一种无状态的协议● 服务器本身不能识别出请求是否是同一个浏览器发出(每一次请求都是完全孤立的)
● 作为web服务器,必须能够采用一种机制来唯一地标识一个用户,同时记录该用户的状态
------------------------------------------------------------------------------------------------------------------
会话、会话状态和会话跟踪:
● 会话:客户端与服务器之间发生的一系列请求和响应过程
● 会话状态 :服务器与浏览器在会话过程中产生的状态信息● 会话跟踪:发送请求消息时附带的标识号,称之为会话ID(SessionID)
注意:在Servlet规范中,常用Cookie、Session机制完成会话跟踪
------------------------------------------------------------------------------------------------------------------Cookie机制: ( 在客户端以文本文件方式保存HTTP状态信息 )
● 一个Cookie只能标识一种信息,它至少含有一个标识该信息的名称和设置值
● 每次访问时,都会在HTTP请求头中将这个保存的Cookie回传给WEB服务器
● 一个WEB站点可以给一个WEB浏览器发送多个Cookie,一个WEB浏览器也可以存储多个Cookie
注意:浏览器一般只允许存放300个Cookie,每个站点最多存放20个Cookie,每个Cookie的大小限制为4KB
------------------------------------------------------------------------------------------------------------------
在Servlet程序中使用Cookie:
注意:setMaxAge()方法未设置,则表示为会话cookie。随着浏览器的关闭,声命周期消失,一般保存在内存里。如果设置了,浏览器就会把cookie保存到硬盘上,关闭后再次打开浏览器,这些cookie依然有效直到超过设定的过期时间。如果在Cookie的value上存储中文,那么需要使用URLEncoder.encode(value,字符集编码),取出中文值时也需要进行解码:URLDecoder.decode(value,字符集编码)
------------------------------------------------------------------------------------------------------------------
Session机制: ( 在服务器端保持HTTP状态信息的方案 )
● 服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息
● session通过SessionID来区分不同的客户, session是以cookie或URL重写为基础的
● 默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,这称之为session cookie,以区别persistent cookies(也就是我们通常所说的cookie),session cookie是存储于浏览器内存中的,并不是写到硬盘上的,通常看不到JSESSIONID,但是当把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,这时地址栏看到
● session cookie针对一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本
● 关闭浏览器,只会是浏览器端内存里的session cookie消失,但不会使保存在服务器端的session对象消失,同样也不会使已经保存到硬盘上的持久化cookie消失
------------------------------------------------------------------------------------------------------------------
Session的创建与删除:
创建:
● 程序调用getSession()方法时(客户端有访问时session不被创建)
删除:
● 程序调用invalidate()
● 时间间隔超过了session的最大有效时间
● 服务器进程被停止
注意:关闭浏览器只会使存储在客户端浏览器内存中的session cookie失效,不会使服务器端的session对象失效。浏览器开多个窗口访问应用程序会使用同一个session
------------------------------------------------------------------------------------------------------------------
HttpServletRequest接口中的Session方法:
getSession():
● 如果当前这次会话中不包含有session对象存在,则会在服务器端构建一个session对象并返回给客户端
● 如果当前这次请求中包含有session对象则,把该session对象返回
getSession(boolean):
● 传入false,在当前的会话中查找是否有session对象,有则返回这个session对象,没有则返回null
● 传入true,在当前的会话中不包含有session对象存在,则会在服务器端构建一个session对象并返回给客户端
● 如果当前这次会话中包含有session对象则,把该session对象返回
注意:在JSP页面中如果在page指令上设置了session=“false”,表示禁止使用JSP页面的session隐含对象。但是可以人为的构建session
------------------------------------------------------------------------------------------------------------------
HttpSession接口中的方法:(session是HttpSession的对象)
● getId( ) :返回当前浏览器与服务器之间会话的标识符
● getCreationTime( ) :返回创建时间(long型值。1970年1月1日至今的毫秒数)
● getLastAccessedTime( ) :返回上一次访问时间(浏览器与服务器之间进行会话之后,session的最大存活时间重新开始计算。long型值。1970年1月1日至今的毫秒数)
● setMaxInactiveInterval(long seconds) :设置session的最大存活时间(浏览器与服务器超过设置的时间未进行会话,则该session会被销毁掉。秒为单位)
● getMaxInactiveInterval( ) :返回session的最大存活时间(超过最大存活时间,session对象失效。秒为单位)
● isNew( ) :判断当前的session是否是新的
● invalidate( ) :把当前session对象设置为无效,session中的任何属性不能被访问到。但是session对象还存在
● setAttribute(String name,Object value) :向session对象中添加属性和属性值,属性名存在,则会覆盖对应的属性值
● getAttribute(String name) :通过属性名来获得在session对象中存放的属性值,如果没有找到返回null
● removeAttribute(String name) :移除指定的属性名的session对象
● getAttributeNames( ) :返回所有的属性名
------------------------------------------------------------------------------------------------------------------
Session的超时管理:
● WEB服务器无法判断当前的客户端浏览器是否还会继续访问,也无法检测客户端浏览器是否关闭,所以,即使客户已经离开或关闭了浏览器,WEB服务器还要保留与之对应的HttpSession对象
● WEB服务器采用“超时限制”的办法来判断客户端是否还在继续访问,如果某个客户端在一定的时间之内没有发出后续请求,WEB服务器则认为客户端已经停止了活动,结束与该客户端的会话并将与之对应的HttpSession对象变成垃圾
● 如果客户端浏览器超时后再次发出访问请求,WEB服务器则认为这是一个新的会话的开始,将为之创建新的HttpSession对象和分配新的会话标识号
● 会话的超时间隔可以在web.xml文件中自定义设置,其默认值由Servlet容器定义(tomcat)(单位分钟)
------------------------------------------------------------------------------------------------------------------
自己整理,有些地方是扒拉的,如有侵犯,还望告知