Session的作用及原理

最新推荐文章于 2025-03-23 17:42:05 发布
最新推荐文章于 2025-03-23 17:42:05 发布
阅读量1w 收藏 42
点赞数 8
分类专栏: Java 文章标签: java tomcat session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_37171817/article/details/122364349
版权

文章目录

1. 定义

Session在计算机中,尤其是网络应用中,被称为“会话控制”。

Session对象可以存储用户在程序中的一些数据,用户在系统中不同的web页面之间进行跳转时,存储在Session中的数据不会丢失。

当用户请求来自web页面时,如果该用户还没有会话,web服务器就会创建一个新的Session对象。当会话过期或者被放弃后,服务器将终止该会话。

2. 和Cookie比较

Session和Cookie都可以保存用户数据,但是Session是保存在服务端Cookie是保存在客户的浏览器中。

电脑桌面端应用APP应用不保存Cookie。

Session的实现需要依赖于Cookie,当服务端创建Session后,会返回一个JSESSIONID存到Cookie中,下次再请求时,请求头中携带的Cookie会将JSESSIONID一并带回到服务端,这样服务端就可以找到对应的Session对象。

3. 图解

image-20220107113924331

Session是在servlet中遇到request.getSession()时创建的;JSP本质就是一个servlet,将JSP编译后得到的servlet中,就会有request.getSession()代码,所以访问JSP也会创建Session。

4. 源码解析(Java)

随便在一个接口中加入以下代码:

// 在任意地方获取当前请求的request对象
HttpServletRequest request = ((ServletRequestAttributes) RequestContextHolder.getRequestAttributes()).getRequest();
// 利用request获取session
HttpSession session = request.getSession();

springboot使用内置tomcat启动时,request对象是org.apache.catalina.connector.RequestFacade的实例。

首先进入request.getSession()方法:

@Override
public HttpSession getSession() {
    // 对request的非空判断
    if (request == null) {
        throw new IllegalStateException(
                        sm.getString("requestFacade.nullRequest"));
    }
	// 默认传参true
    return getSession(true);
}

进入getSession(true)方法:

/**
 * @param create 当session不存在时,是否新创建session
 */
@Override
public HttpSession getSession(boolean create) {
	// 对request的非空判断
    if (request == null) {
        throw new IllegalStateException(
                        sm.getString("requestFacade.nullRequest"));
    }
	// 包保护特殊处理逻辑
    if (SecurityUtil.isPackageProtectionEnabled()){
        return AccessController.
            doPrivileged(new GetSessionPrivilegedAction(create));
    } else {
        return request.getSession(create);
    }
}

此处request属于org.apache.catalina.connector.Request类,进入request.getSession(create)方法:

@Override
public HttpSession getSession(boolean create) {
    // 真正获取Session的方法
    Session session = doGetSession(create);
    if (session == null) {
        return null;
    }
	// 获取HttpSession
    return session.getSession();
}

进入doGetSession(create)方法:

protected Session doGetSession(boolean create) {

    // tomcat上下文
    Context context = getContext();
    if (context == null) {
        return null;
    }

    // 如果session不为空且session对象是无效的,则置session为null
    if ((session != null) && !session.isValid()) {
        session = null;
    }
    // 如果session不为空,且是有效的session,则直接返回session
    if (session != null) {
        return session;
    }

    // 获取上下文中管理器对象
    Manager manager = context.getManager();
    // 管理器对象为空说明不支持Session,直接返回null
    if (manager == null) {
        return null;
    }
    // 从Cookie中解析到的JSESSIONID如果不为空
    if (requestedSessionId != null) {
        try {
            // 根据SessionId从管理器对象中查找对应的Session对象
            session = manager.findSession(requestedSessionId);
        } catch (IOException e) {
            // 出错打印日志
            if (log.isDebugEnabled()) {
                log.debug(sm.getString("request.session.failed", requestedSessionId, e.getMessage()), e);
            } else {
                log.info(sm.getString("request.session.failed", requestedSessionId, e.getMessage()));
            }
            session = null;
        }
        // 获取出来的session对象不为空且session已失效,则将session置为null
        if ((session != null) && !session.isValid()) {
            session = null;
        }
        // session对象不为空且session有效
        if (session != null) {
            // 更新session中的最后访问时间为当前时间
            session.access();
            // 返回session
            return session;
        }
    }

    // 如果请求中未传递sessionId且create参数为false,则表示当前请求不存在对应session对象时不新创建
    if (!create) {
        return null;
    }
    // 有效的会话跟踪模式是否包含Cookie模式
    boolean trackModesIncludesCookie =
            context.getServletContext().getEffectiveSessionTrackingModes().contains(SessionTrackingMode.COOKIE);
    // 支持Cookie且response已经被提交(response不能再向缓冲区写入任何东西)则直接抛出异常
    if (trackModesIncludesCookie && response.getResponse().isCommitted()) {
        throw new IllegalStateException(sm.getString("coyoteRequest.sessionCreateCommitted"));
    }
	// 获取sessionId
    String sessionId = getRequestedSessionId();
    if (requestedSessionSSL) {
        
    } else if (("/".equals(context.getSessionCookiePath()) 
            && isRequestedSessionIdFromCookie())) { // 如果sessioncookie的path为/,且sessionId来自于cookie

        if (context.getValidateClientProvidedNewSessionId()) {
            boolean found = false;
            // 获取tomcat中当前Host下所有的Container,在每个container中寻找sessionId对应的session,如果存在对应的session,则标记为found
            for (Container container : getHost().findChildren()) {
                Manager m = ((Context) container).getManager();
                if (m != null) {
                    try {
                        if (m.findSession(sessionId) != null) {
                            found = true;
                            break;
                        }
                    } catch (IOException e) {
                        // Ignore. Problems with this manager will be
                        // handled elsewhere.
                    }
                }
            }
            // 如果都没有,则将sessionId置空
            if (!found) {
                sessionId = null;
            }
        }
    } else {
        sessionId = null;
    }
    // 创建session对象
    session = manager.createSession(sessionId);

    // 基于session对象创建一个session cookie
    if (session != null && trackModesIncludesCookie) {
        // 创建Cookie对象,并设置MaxAge、Comment、Domain、Secure、HttpOnly、Path参数
        Cookie cookie = ApplicationSessionCookieConfig.createSessionCookie(
                context, session.getIdInternal(), isSecure());
		// 向response中增加Set-Cookie响应头
        response.addSessionCookieInternal(cookie);
    }

    if (session == null) {
        return null;
    }
	// 设置访问时间为当前时间
    session.access();
    return session;
}

判断session是否失效的session.isValid()方法:

@Override
public boolean isValid() {

    if (!this.isValid) {
        return false;
    }

    if (this.expiring) {
        return true;
    }

    if (ACTIVITY_CHECK && accessCount.get() > 0) {
        return true;
    }
	
    // 最大存活时间是否大于0
    if (maxInactiveInterval > 0) {
        // 获取存活时间(s)
        int timeIdle = (int) (getIdleTimeInternal() / 1000L);
        // 存活时间超过最大存活时间则使其失效
        if (timeIdle >= maxInactiveInterval) {
            expire(true);
        }
    }

    return this.isValid;
}

5. 总结

Session是一项会话存储技术,它的实现需要Cookie的配合。服务端根据请求中Cookie携带的JSESSIONID参数寻找对应的Session对象。

第一次请求没有携带JSESSIONID或者JSESSIONID对应的Session对象已经失效或者不存在,则服务端创建新的Session,并将JSESSIONID添加到响应头中,浏览器端接收到响应后,设置Cookie中的JSESSIONID参数。

session原理
02-24
session原理 session原理 session原理 session原理 session原理
spring-session简介及实现原理源码分析
08-28
2. spring-session 重写 Servlet Request 及 Redis 实现存储相关问题 SessionRepositoryFilter SessionRepositoryFilter 是 Spring-Session 的一个关键类,它继承自 OncePerRequestFilter,并实现了 doFilter 方法...
为什么使用Session、Cookie、Token?
Jiangtagong的博客
08-02 950
HTTP协议是无状态的服务,不会记录客户端的身份等基本信息,比如打开浏览器,访问一个网页50次和访问1次对于服务器来说没有区别。 一、Session、Cookie的作用 Session是客户端与服务器通讯会话跟踪的一门技术,可以使服务器与客户端保证整个通讯的会话基本信息。 客户端在第一次访问服务器的时候,服务端会响应一个sessionId,并且将它存入到客户端本地的cookie中,在之后的访问会将cookie中的sessionId放入到请求头中去访问服务器,如果服务器通过这个sessionId没有.
Session和Cookie
最新发布
Aric_Jones的博客
03-23 763
• 定义 :Session 是一种服务器端的机制,用于在服务器上存储用户的状态信息。它通过一个唯一的标识符(Session ID)来区分不同的用户会话。• 特点 :• 数据存储在服务器端。• Session ID 通常通过 Cookie 传递给客户端。• 适合存储敏感信息(如用户登录状态、购物车内容等)。• 生命周期由服务器控制,通常会设置超时时间。特性CookieSession存储位置客户端(浏览器)服务器端安全性较低,容易被窃取或篡改较高,数据存储在服务器端。
session作用是什么?
05-05 306
session作用是什么? session识别的原理是什么?客户端有一个key,服务器端也有一个,如果有则用同一标识,如果没有则新创建标识?(那么第一次创建标识是client导向,还是server导向(好像应该是都可以)使用ajax如何应用session,ajax...
Session作用
是草莓味的啊
03-01 596
session就是象一个临时的容器,来存放这些临时的东西 从登陆开始就保存在session里,可以自己设置它的有效时间和页面 例子:购书的JSP网站,顾客买书的时候会挑选出一些书,但是在付钱之前还可以修改,所以不能存到数据库,就可以先保存在session里,等到确认了以后再放入数据库 ...
session作用
long13131462101的专栏
04-26 625
[code="java"]Session:在计算机中,尤其是在网络应用中,称为“会话”。 session介绍   Session直接翻译成中文比较困难,一般都译成时域。在计算机专业术语中,Session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。   具体到Web中的Session指的就是用户在浏览某个网站时,从进入网站到浏览器关闭...
session作用
weixin_42593549的博客
02-12 491
会话(session)的作用是在Web应用程序中保存用户状态。它允许Web应用程序在多次请求和响应之间存储和检索特定用户的信息。例如,在用户登录Web应用程序时,可以在会话中存储用户的登录状态,以便在后续请求中识别该用户。此外,可以在会话中存储其他有关用户的信息,例如用户的购物车内容。通过使用会话,Web应用程序可以提供更个性化和有状态的体验。 ...
带你了解session和cookie作用原理区别和用法
08-29
本资源主要介绍了session和cookie的作用原理、区别和用法,帮助读者更好地理解两者之间的关系。 Cookie概念 Cookie是浏览器端存储的一种小文本文件,用于记录用户的信息,以便在后续的访问中使用。Cookie可以根据...
JSP 中Session的详解及原理分析
10-19
本文将深入讲解JSP中Session原理和使用方法,并对比它与Cookie的区别。 首先,我们来了解Session的基本概念。Session是服务器端的一种机制,用于存储特定用户会话期间的信息。每当用户打开浏览器访问网站,服务器...
深入解析Session工作原理及运行流程
08-18
"深入解析Session工作原理及运行流程" Session是Web应用程序中的一种常见技术,用于维持服务器端的数据存储。下面我们将深入解析Session的工作原理及运行流程。 Session的概念和特点 Session是指在计算机中,...
Session的工作原理
热门推荐
嘉会的博客
08-17 2万+
session是服务器端的一个集合,可以存储任何东西。session最重要的特性,是可以识别客户。 1.Session的工作原理 当我们的Servlet需要使用Session时,执行下面的代码 HttpSession session = request.getSession();//取出session session.setAttribute("goods1","Scoat");//se...
session 的工作原理
perddy的专栏
04-25 1423
一、术语session 在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transaction与session在某些语境下的含义是相同的。session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以 称之为一个session。有时候我们可以看到这样的话“在一个浏览器会话期间
Session的特点和作用
weixin_42170152的博客
12-30 2935
概念 服务端会话技术,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象中。HTTPSession 入门 HTTPSession对象 - Object getAttribute(String name) - void setAttribute(String name, Object value) - void removeAttribute(String name) 发送: //...
session有什么用?怎么使用?
lerdor的专栏
10-15 9446
session有什么用?怎么使用? session在web开发中具有非常重要的份量。它可以将用户正确登录后的信息记录到服务器的内存中,当用户以此身份 访问网站的管理后台时,无需再次登录即可得到身份确认。而没有正确登录的用户则不分配session空间,即便输入了 管理后台的访问地址也不能看到页面内容。通过session确定了用户对页面的操作权限。 使用session的步骤: 1. 启动se
session
bkdl047的博客
07-09 277
HttpSession对象 1、Session作用 Session作用就是为了标识一次会话,或者说确认一个用户。 并且在一次会话(一个用户的多次请求)期间共享数据 可以通过req.geySession()方法,来获取当前会话的session对象。 2、JSESSIONID SessionId是为了标识一次会话的唯一标志。 每当一次请求到达服务器,如果开启了会话(访问了session),服务器第...
Session的工作原理和应用详解
Hello, New World!
04-22 1万+
Session的工作原理和应用详解1. Session 原理1.1 Session 背景信息1.2 Session 工作原理1.3 Session 创建、获取、销毁1.4 Session 共享范围1.5 Session 生命周期1.6 HTTP请求中 4 大共享数据方式对比2. Session 应用2.1 案例:使用验证码登陆和共享用户信息 1. Session 原理 1.1 Session 背景...
分布式Session的几种实现方式
miaoao611的博客
07-14 1038
一。分布式Session的几种实现方式 1.基于数据库的Session共享 2.基于NFS共享文件系统 3.基于memcached 的session,如何保证 memcached 本身的高可用性? 4. 基于resin/tomcat web容器本身的session复制机制 5. 基于TT/Redis 或 jbosscache 进行 session 共享。 6. 基于cookie 进行se
Servlet Session详解:原理与实现
首先,HttpSession接口的核心作用是会话管理。每当用户第一次访问一个使用了HttpSession的JSP页面,服务器会生成一个唯一的会话标识符(Session ID),并将其作为Cookie的形式发送给浏览器。这个标识符是服务器识别...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值