提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档
文章目录
目录
前言
Cookie技术可以将用户的信息保存在用户各自的浏览器中,并且可以在多次请求下实现数据的共享。但如果需要传递的信息比较多,使用Cookie技术会增加服务器的负荷。因此,一种新的会话技术——Session诞生了。Session可以将数据保存在服务器。
一、Session是什么?
如果将Cookie信息比作商场的购物卡,那么Session就相当于保存在商场的顾客档案。当顾客(浏览器)光临商场消费时,商场(服务器)便会根据顾客的ID查询到顾客的消费记录档案(Session),给予正确的响应。
如上图,浏览器第一次访问服务器时,服务器会为浏览器创建一个数据结构(Session)。这里面将会保存与该浏览器相关的信息。同时,服务器将Session对象的ID属性以Cookie(Set-Cookie:JESSIONID=xxx)的形式返回给浏览器。下次该浏览器再次访问这个服务器时,服务器会根据浏览器请求携带Cookie中的Session对象的ID属性找到对应的Session,方便做出正确的响应。
由于Session可将关键数据保存在服务器,客户端遭遇黑客攻击时可以确保关键信息不被窃取篡改,因此Session具有更高的安全性。
二、HttpSession API
1.获取Session对象
1.public HttpSession getSession(boolean create);
2.public HttpSession getSession(boolean create);
第一个方法的参数若为true,则在HttpSession对象不存在时创建并返回新的Session对象,否则不创建Session对象,返回null:
第二个方法相当于第一个方法参数为true的情况。要注意的是,由于getSession()方法可能会产生发送会话标识号的Cookie头字段,因此必须在任何响应动作前调用getSession()方法。
HttpSession接口中的常用方法
三、Session生命周期
1.生效
Session在用户使用浏览器第一次访问服务器时创建。注意:只有访问JSP和Servlet等程序时才会创建Session对象。访问HTML、IMAGE等静态资源时不会创建。如果调request.getSession(true)
方法则会强行生成Session。
2.失效
a)超时限制失效
在一段时间内若某用户一直没有访问服务器,那么服务器会认为该用户访问已经结束。并且将与该客户端会话产生的HttpSession对象变为垃圾对象,等待垃圾收集器回收。如果该浏览器超时后再次访问服务器,服务器将会为其新建一个Session对象,并分配一个新的ID属性。
b)强制Session失效
调用invalidate()方法可以强制Session对象失效。
HttpSession session=request.getSession();
session.invalidate();
c)自定义失效时间
1.web.xml中配置
<session-config>
<session-timeout>30</session-timeout>
</session-config>
注意默认时间是分钟,上述代码配置session失效时间为30分钟
2.Servlet程序中手动设置
public void setMaxInactiveInterval(30*60);
这里默认是以秒为单位
无论第一种还是第二种方法,若将时间值设为“-1”则表示会话永不过期。