1. HttpSession概述
- HttpSession是由JavaWeb提供的,用来会话跟踪的类。session是服务器端对象,保存在服务器端。
- HttpSession是Servlet三大域对象之一(request、session、application(ServletContext)),所以它也有setAttribute()、getAttribute()、removeAttribute()方法
- HttpSession底层依赖Cookie,或是URL重写!
2. HttpSession的作用
-
会话范围:会话范围是某个用户从首次访问服务器开始,到该用户关闭浏览器结束!
会话:一个用户对服务器的多次连贯性请求!所谓连贯性请求,就是该用户多次请求中间没有关闭浏览器! -
服务器会为每个客户端创建一个session对象,session就好比客户在服务器端的账户,它们被服务器保存到一个Map中,这个Map被称之为session缓存!
Servlet中得到session对象:HttpSession session = request.getSession();
Jsp中得到session对象:session是jsp内置对象,不用创建就可以直接使用! -
session域相关方法:
void setAttribute(String name, Object value);
Object getAttribute(String name);
void removeAttribute(String name);
3. HttpSession的原理
-
request.getSession()方法(获取/创建Session):
获取Cookie中的JSESSIONID:
如果sessionId不存在,查看参数(request.getParameter("JSESSIONID")
)中有没有,若还是没有,则创建session,把session保存起来,把新创建的sessionId保存到Cookie中如果sessionId存在,通过sessionId查找session对象,如果没有查找到,创建session,把session保存起来,把新创建的sessionId保存到Cookie中
如果sessionId存在,通过sessionId查找到了session对象,那么就不会再创建session对象了。
返回session如果创建了新的session,浏览器会得到一个包含了sessionId的Cookie(JSESSIONID),这个Cookie的生命为-1,即只在浏览器内存中存在,如果不关闭浏览器,那么Cookie就一直存在。
下次请求时,再次执行request.getSession()方法时,因为可以通过Cookie中的sessionId找到session对象,所以与上一次请求使用的是同一session对象。服务器不会马上给你创建session,在第一次获取session时,才会创建!request.getSession();(jsp除外)
request.getSession(false);//如果原来存在session则返回,否则返回null,不另外创建
request.getSession(true);
request.getSession();//效果同上
4. URL重写(禁用cookie下采用)
- session依赖Cookie,目的是让客户端发出请求时归还sessionId,这样才能找到对应的session
- 如果客户端禁用了Cookie,那么就无法得到sessionId,那么session也就无用了!
- 也可以使用URL重写来替代Cookie(以传参的形式传递JSESSIONID)
让网站的所有超链接、表单中都添加一个特殊的请求参数,即sessionId
这样服务器可以通过获取请求参数得到sessionId,从而找到session对象。 response.encodeURL(String url)
该方法会对url进行智能的重写:当请求中没有归还sessionid这个cookie,那么该方法会重写url,否则不重写!当然url必须是指向本站的url。
小结
- Session保存在服务器端,Session可以理解为银行账户,SessionID可理解为银行卡。有最长生命期(默认30min)。
- 只有当调用了
request.getSession()
,才会创建Session。(JSP不需要,作为内置对象可以直接拿来用) - 创建了新Session会向客户端发送名为JSESSIONID的cookie。
- 若客户端禁用了cookie,需要使用URL重写
- 常用来保存登录信息。