Session后续

 

一、         利用URL重写实现Session跟踪

1、Servlet规范中引入了一种补充的会话管理机制，它允许不支持Cookie的浏览器也可以与WEB服务器保持连续的会话。这种补充机制要求在响应消息的实体内容中必须包含下一次请求的超链接，并将会话标识号作为超链接的URL地址的一个特殊参数。

2、将会话标识号以参数形式附加在超链接的URL地址后面的技术称为URL重写。如果在浏览器不支持Cookie或者关闭了Cookie功能的情况下，WEB服务器还要能够与浏览器实现有状态的会话，就必须对所有可能被客户端访问的请求路径（包括超链接、form表单的action属性设置和重定向的URL）进行URL重写。

3、HttpServletResponse接口中定义了两个用于完成URL重写方法：

encodeURL方法

encodeRedirectURL方法

二、Session的典型案例

           1、使用Session实现购物车

                 1.1功能说明

1.11程序包含一个HTML文件和两个Servlet组件：logon.html、LogonServlet.java和CoursesServlet.java。

logon.html提供用户登录的界面；LogonServlet.java是一个负责处理用户登录的Servlet程序。

1.12CoursesServlet.java完成了三项功能：显示所有可选课程的列表、将用户选择的课程放入购物车、显示购物车中的课程。

1.13LogonServlet.java的登录验证方式非常简单，只要登录的用户名不为空白字符串即可；LogonServlet.java先将成功登录的用户名保存到Session中，然后将请求转发给CoursesServlet.java显示所有可选课程的列表；如果登录失败，LogonServlet.java则再次显示登录界面。

1.14CoursesServlet.java需要完成如下任务：

首先判断访问请求是否来自一个已登录用户，如果不是，则将请求重定向到logon.html页面。

接着判断当前访问请求是否是用户选择课程时发出的，如果是，则将用户选择的课程加入购物车。

最后显示出所有供选择的课程列表和已放入购物车中的课程列表。

                 1.2实践

                      String courseSelect = request.getParameter("course");

if(courseSelect != null){

                       Vector vCourses = (Vector)session.getAttribute("courses");

                       if(vCourses == null){

                            vCourses = new Vector();

                       vCourses.add(courseSelect);

                       session.setAttribute("courses",vCourses);

                 }else{

           if(vCourses.contains(courseSelect)){

                 out.println(sessionName + "，你以前选择过了" +

                                  courseSelect + "<hr>");

           }else{

                 vCourses.add(courseSelect);

           }

      }

}

2、利用Session防止表单重复提交

      1.1包含有FORM表单的页面必须通过一个服务器程序动态产生，服务器程序为每次产生的页面中的FORM表单都分配一个唯一的随机标识号，并在FORM表单的一个隐藏字段中设置这个标识号，同时在当前用户的Session域中保存这个标识号。

2.1当用户提交FORM表单时，负责接收这一请求的服务器程序比较FORM表单隐藏字段中的标识号与存储在当前用户的Session域中的标识号是否相同，如果相同则处理表单数据，处理完后清除当前用户的Session域中存储的标识号。在下列情况下，服务器程序将忽略提交的表单请求：

当前用户的Session中不存在表单标识号

用户提交的表单数据中没有标识号字段

存储在当前用户的Session域中的表单标识号与表单数据中的标识号不同

3.1浏览器只有重新向WEB服务器请求包含FORM表单的页面时，服务器程序才又产生另外一个随机标识号，并将这个标识号保存在Session域中和作为新返回的FORM表单中的隐藏字段值。

3、实践

      1.1程序包含三个Java源程序：TokenProcessor.java、FormGenerateServlet.java和FormDealServlet.java。

2.1TokenProcessor.java是用于管理表单标识号的工具类，它主要用于产生、比较和清除存储在当前用户Session中的表单标识号。为了保证表单标识号的唯一性，每次将当前SessionID和系统时间的组合值按MD5算法计算的结果作为表单标识号，并且将TokenProcessor类设计为单件类。

3.1FormGenerateServlet.java是用于产生FORM表单的Servlet程序，FormDealServlet是负责处理FORM表单请求的Servlet程序。

3、利用Session实现一次性验证码

1、一次性验证码的主要目的就是为了限制人们利用工具软件来暴力猜测密码，其原理与利用Session防止表单重复提交的原理基本一样，只是将表单标识号变成了验证码的形式，并且要求用户将提示的验证码手工填写进一个表单字段中，而不是通过表单的隐藏字段自动回传给服务器。

2、服务器程序接收到表单数据后，首先判断用户是否填写了正确的验证码，只有该验证码与服务器端保存的验证码匹配时，服务器程序才开始正常的表单处理流程。

3、密码猜测工具要逐一尝试每个密码的前题条件是先输入正确的验证码，而验证码是一次性有效的，这样基本上就阻断了密码猜测工具的自动地处理过程。