1.域
2.session原理
3.Session的URL重写
4.cookie和session的比较
5.req.getSession()一个注意点
1.session是一个域
(1).作用范围:会话级别范围
(2).生命周期:request.getSession()创建,如果半小时没有修改会销毁session,如果session.invalidate()方法调用,会直接杀死session,如果服务器非正常关闭会跟着虚拟机一起销毁。
(3).如果服务器正常关闭,未超时的session会保存在work目录下,这叫做钝化;
当服务器再次启动时,钝化的session会恢复到内存中,这叫做活化
(4).设置session存活时间
<session-config>
<session-timeout>10</session-timeout>//这是10分钟
</session-config>
2.session原理
当request.getSession()方法调用时,检查有无Cookie名为JSESSIONID的cookie;如果没有,再检查url中有无JSESSIONID的参数。如果都没有,则认为该浏览器没有对应的session,服务器会创建一个session对象,并在响应中添加名为JSESSIONID,值为该session对象ID的cookie。
如果没有特殊说明,session的path就是web应用的path;
3.URL重写
因为session是否创建的前提是两种,一种是看cookie中有无JSESSIONID,一种是看url中是否有无JSESSIONID。但是因为cookie是不安全的,有的人会禁用cookie,所以创建session的唯一方法就是在url中添加参数JSESSIONID。但是用户或者程序员手动添加是不可能的,自动添加JSESSIONID,并且给这个参数赋值就是URL重写的作用了。
方法:
request.getSession();
response.encodeURL(url);
给重定向的地址的URL重写:
request.getSession();
response.encodeRedirectURL(url);
4.Cookie和Session的比较
Cookie:浏览器技术,不安全,保存时间长,但是随时会被清空,不可靠
Session:服务器技术,安全,但是session会占用服务器内存,所以保存时间一般不长
5.req.getSession()一个注意点
req.getSession():如果session有的话就获取,没有的话就创建
req.getSession(false):这个方法一般用于判断是否有session,有的话就获取,没有的话只会得到null,不会创建