事情的起因是从群友的一个问题开始的:如何禁用session?
为什么要禁用session的?他的理由是现在的项目身份校验是基于缓存实现的,没有用到session,而session是要占内存的,却没有用到,这里白白浪费了内存。一开始还觉的挺有道理,后来去实验加阅读源码发现不是这么回事。
首先,session是什么时候生成?一直以来都以为在浏览器访问后台就会有session,其实并不然,session是在后台第一次调用request.getSession()方法后生成的。首先进行测试:
@RequestMapping("/test")
public String test(HttpServletRequest request){
//System.out.println(request.getSession().toString());
return "success";
}
这里写了一个测试接口,然后分别注释和不注释对应的代码。打开浏览器,访问,打开f12,我们会发现两次的结果不一样
在调用了getSession()后,cookies里面多了JESSIONID,然后我们在去分析源码:
经过追踪,发现这个地方已经有了session对象
代码比较多,这里直接定位到关键代码:
很明显,就是这里产生的session,然后把sessionId存到cookie里去。我们就可以得出结论,session是在后台调用getSession()时产生的(当然这里进行了许多的判断)。这里提一句,之前的jsp文件会默认的进行一次getSession()操作,这可能是禁用session这个需求的来源。
那么,我们知道了session是如何产生的,那如何禁用session呢,很明显啊,不调用getSession()不就成了嘛。
那我非得调用getSession()呢,这里提供个思路:去重写getSession()方法。