HttpSession对象
HttpSession对象是javax.servlet.http.HttpSession的实例,该接口并不像HttpServletRequest或HttpServletResponse还存在一个父接口,该接口只是一个纯粹的接口.这因为session本身就属于HTTP协议范畴.
对于服务器而言,每一个连接到它的客户端都是一个session,servlet容器使用此接口创建HTTP客户端和HTTP服务器之间的会话.会话将保留指定的时间段,跨多个连接或来自用户的页面请求.一个会话通常对应于一个用户,该用户可能多次访问一个站点.可以通过此接口查看和操作有关某个会话的信息,比如会话标识符,创建时间和最后一次访问时间.在整个session中,最重要的就是属性的操作.
session无论客户端还是服务器端都可以感知到,若重新打开一个新的浏览器,则无法取得之前设置的session,因为每一个session只保存在当前的浏览器中,并在相关的页面取得.
Session的作用就是为了标识一次会话,或者说确认一个用户;并且在一次会话(一个用户的多次请求)期间共享数据.我们可以通过request.getSession()方法,来获取当前会话的session对象.
//如果session对象存在,则获取;如果session对象不存在,则创建
HttpSession session = request.getSession();
标识符JSESSIONID
Session既然是为了标识一次会话,那么此次会话就应该有一个唯一的标志,这个标志就是sessionId.
每当一次请求到达服务器,如果开启了会话(访问了session),服务器第一步会查看是否从客户端回传一个名为JSESSIONID的cookie,如果没有则认为这是一次新的会话,会创建一个新的session对象,并用唯一的sessionId为此次会话做一个标志.如果有JESSIONID这个cookie回传,服务器则会根据JSESSIONID这个值去查看是否含有id为JSESSION值的session对象,如果没有则认为是之前标志过的一次会话,返回该session对象,数据达到共享.
这里提到一个叫做JSESSIONID的cookie,这是一个比较特殊的cookie,当用户请求服务器时,如果访问了session,则服务器会创建一个名为JSESSIONID,值为获取得到的session(无论是获取到的还是新创建的)session的cookie对象,并添加到response对象中,响应给客户端,有效时间关闭浏览器.
所以Session的底层依赖Cookie来实现
session域对象
Session用来表示一次会话,在一次会话中数据是可以共享的,这时session作为域对象存在,可以通过setAttribute(name,value)方法向域对象中添加数据,通过getAttribute(name)从域对象中获取数据,通过removeAttribute(name)从域对象中移除数据.
//获取session对象
HttpSession session = request.getSession();
//设置Session域对象
session.setAttribute("uname","admin");
//获取指定名称的session域对象
String uname = (String)request.getAttribute("uname");
//移出指定名称的session域对象
session.removeAttribute("uname");
数据存储在session域对象中,当session对象不存在了,或者是两个不同的session对象时,数据也就不能共享了.这就不得不谈到session的生命周期.
session对象的销毁
默认时间到期
当客户端第一次请求servlet并且操作session时,session对象生成,Tomcat中session默认的存活时间为30min,即你不操作界面的时间,一旦有操作,session会从新计时.
那么session的默认时间可以改吗?答案是肯定的.
可以在Tomcat中的conf目录下的web.xml文件中进行修改.
<!--session 默认的最大不活动时间.单位:分钟-->
<session-config>
<session-timeout>30</session-timeout>
</session-config>
自己设定到期时间
当然除了以上的修改方式外,我们也可以在程序中自己设定session的生命周期,通过session.setMaxInactiveInterval(int)来设定session的最大不活动时间,单位为秒.
//获取session对象
HttpSession session = request.getSession();
//设置session的最大不活动时间
session.setMaxInactiveInterval(15);//15秒
当然我们也可以通过getMaxInactiveInterval()方法来查看当前Session对象的最大不活动时间
//获取session的最大不活动时间
int time = session.getMaxInactiveInterval();
立刻失效
或者我们也可以通过session.invalidate()方法让session立刻失效
//销毁session对象
session.invalidate();
关闭浏览器
从前面的JESSIONID可知道,session的底层依赖cookie实现,并且该cookie的有效时间为关闭浏览器,从而session在浏览器关闭时也相当于失效了(因为没有JSESSION再与之对应)
关闭服务器
当关闭服务器时,session销毁.
Session失败则意味着此次会话结束,数据结束共享.