1、session简介
session是我们jsp九大隐含对象的一个对象。
session称作域对象,他的作用是保存一些信息,而session这个域对象是一次会话期间使用同一个对象。所以这个对象可以用来保存共享数据。
使用Cookie有一个非常大的局限,就是如果Cookie很多,则无形的增加了客户端与服务端的数据传输量。而且由于浏览器对Cookie数量的限制,注定我们不能再Cookie中保存过多的信息,于是Session出现。
Session的作用就是在服务器端保存一些用户的数据,然后传递给用户一个名字为JSESSIONID的Cookie,这个JESSIONID对应这个服务器中的一个Session对象,通过它就可以获取到保存用户信息的Session。
session是基于cookie的。
在用户第一次使用session的时候(访问jsp页面会获取session,所以一般访问index.jsp就算是第一次使用session了),服务器会为用户创建一个session域对象。使用jsessionid和这个对象关联,这个对象在整个用户会话期间使用。响应体增加set-cookie:jsessionid=xxx的项。用户下次以后的请求都会携带jsessionid这个参数,我们使用request.getSession()的时候,就会使用jsessionid取出session对象。
session原理图:
2、session使用
获取session对象
HttpSession session = request.getSession();
session是我们的四大域对象之一。用来保存数据。常用的方法
session.setAttribute(“user”, new Object());
session.getAttribute(“user”);
session.setMaxInactiveInterval(60*60*24);//秒为单位
session.invalidate();//使session不可用
1、Session时效
基本原则
Session对象在服务器端不能长期保存,它是有时间限制的,超过一定时间没有被访问过的Session对象就应该释放掉,以节约内存。所以Session的有效时间并不是从创建对象开始计时,到指定时间后释放——而是从最后一次被访问开始计时,统计其“空闲”的时间。
默认设置
在全局web.xml中能够找到如下配置:
<!-- ==================== Default Session Configuration ================= -->
<!-- You can set the default session timeout (in minutes) for all newly -->
<!-- created sessions by modifying the value below. -->
<session-config>
<session-timeout>30</session-timeout>
</session-config>
说明Session对象默认的最长有效时间为30分钟。
手工设置
session.setMaxInactiveInterval(int seconds)
session.getMaxInactiveInterval()
强制失效
session.invalidate()
可以使Session对象释放的情况
Session对象空闲时间达到了目标设置的最大值,自动释放
Session对象被强制失效
Web应用卸载
服务器进程停止
2、URL重写
在整个会话控制技术体系中,保持JSESSIONID的值主要通过Cookie实现。但Cookie在浏览器端可能会被禁用,所以我们还需要一些备用的技术手段,例如:URL重写。
URL重写其实就是将JSESSIONID的值以固定格式附着在URL地址后面,以实现保持JSESSIONID,进而保持会话状态。这个固定格式是:URL;jsessionid=xxxxxxxxx
例如:
targetServlet;jsessionid=F9C893D3E77E3E8329FF6BD9B7A09957
实现方式:
response.encodeURL(String)
response.encodeRedirectURL(String)
例如:
//1.获取Session对象
HttpSession session = request.getSession();
//2.创建目标URL地址字符串
String url = "targetServlet";
//3.在目标URL地址字符串后面附加JSESSIONID的值
url = response.encodeURL(url);
//4.重定向到目标资源
response.sendRedirect(url);
3、Session的活化和钝化
Session机制很好的解决了Cookie的不足,但是当访问应用的用户很多时,服务器上就会创建非常多的Session对象,如果不对这些Session对象进行处理,那么在Session失效之前,这些Session一直都会在服务器的内存中存在。那么就,就出现了Session活化和钝化的机制。
Session钝化:
Session在一段时间内没有被使用时,会将当前存在的Session对象序列化到磁盘上,而不再占用内存空间。
Session活化:
Session被钝化后,服务器再次调用Session对象时,将Session对象由磁盘中加载到内存中使用。
如果希望Session域中的对象也能够随Session钝化过程一起序列化到磁盘上,则对象的实现类也必须实现java.io.Serializable接口。不仅如此,如果对象中还包含其他对象的引用,则被关联的对象也必须支持序列化,否则会抛出异常:java.io.NotSerializableException
3、表单重复提交问题
1、什么是表单重复提交?
同一个表单中的数据内容多次提交到服务器。
危害?
服务器重复处理信息,负担加重。
如果是保存数据可能导致保存多份相同数据。
2、几种重复提交
1、提交完表单后,直接刷新页面,会再次提交。
- 根本原因:Servlet处理完请求以后,直接转发到目标页面。
- 这样整一个业务,只发送了一次请求,那么当你在浏览器中点击刷新按钮或者狂按f5会一直都会刷新之前的请求
解决方案:使用重定向跳转到目标页面
2、提交表单后,由于网速差等原因,服务器还未返回结果,连续点击提交按钮,会重复提交。
-根本原因:按钮可以多次点击
-解决方案:通过js,使得按钮只能提交一次。
(“#form1”).submit(function(){
(“#form1”).submit(function(){
(“#sub_btn”).prop(“disabled”,true);
})
3、表单提交后,点击浏览器回退按钮,不刷新页面,点击提交按钮再次提交表单
- 根本原因:服务器并不能识别请求是否重复。
- 解决方案:使用token机制。
1、页面生成时,产生一个唯一的token值。将此值放入session
2、表单提交时,带上这个token值。
3、服务端验证token值存在,则提交表单,然后移除此值。
验证token不存在,说明是之前验证过一次被移除了,所以是重复请求。不予处理
原理:
代码:
jsp页面
<%
String token = System.currentTimeMillis() + "";
request.getSession().setAttribute(token, "");
%>
<div>
<h1>测试表单重复提交</h1>
<form action="login" method="get">
用户名:<input name="username" type="text"/>
密码:<input name="password" type="password">
<input name="token" value="<%=token%>">
<input type="submit">
</form>
<hr>
</div>
Servlet
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession();
String token = request.getParameter("token");
Object attribute = session.getAttribute(token);
response.setContentType("text/html;charset=UTF-8");
if(attribute!=null){
session.removeAttribute(token);
response.getWriter().write("请求成功!");
}else{
response.getWriter().write("请不要重复请求!");
}
}
其实防止重复提交的核心就是让服务器有一个字段能来识别此次请求是否已经执行。
这个字段需要页面传递过来,因为只要回退回去的页面,字段都是一致的。不会变化,通过这个特性我们想到了token机制来防止重复提交
172
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
