关于B/S结构系统的会话机制(session机制)
-
什么是会话?
- 用户打开浏览器,进行一系列操作,最后关闭浏览器,这个整个过程叫做一次会话。
- 真正意义上,会话是session对象的创建到结束的过程。
- 一个session对应一个会话
- 在服务器端有一个对象叫做session
- 一次会话对应n次请求
-
什么是请求:用户在浏览器上点击了一下,然后页面停下来,可以认为是一次请求。
-
在java的Servlet规范当中,session对应的类名:HttpSession
-
session机制其实是一种规范,然后不同的语言对这种会话机制都有实现
-
session对象最主要的作用是:保存会话状态。
-
为什么需要session对象保存会话状态呢?
- 因为HTTP协议是一种无状态协议
- 什么是无状态?请求的时候,B和S是连接的,但是请求结束之后连接就断了。
- 无状态的目的?减轻服务器压力。
- 只要B和S断开了,服务器时不知道浏览器关闭的。
-
为什么许多网站有“安全退出”按钮
- 因为你如直接点×退出该网站,服务器时不知道你退出了的,会话就没有彻底关闭。但是如果你点了安全退出,服务器就知道你退出了,这时候会话才彻底关闭,session对象也被销毁了。
- 为什么没有彻底关闭,因为HTTP是无状态协议,你请求时和服务器建立了连接,但是请求结束后连接就直接断开了,那么你是否关闭浏览器服务器是不知道的,也就是说就算你退出了该页面,在规定时间内你的session对象还存在,对象中还有很多信息。
- session对象是采用超时关闭的机制销毁的。
-
一个用户对应一个session,在不同的浏览器打开属于不同的用户。
例如:张三打开了一个浏览器A,王五打开了浏览器B,访问服务器后,在服务器会生成:
张三专属的session对象
王五专属的session对象
-
为什么不用request或者ServletContext对象保存会话状态?
- request是一次请求一个对象
- ServletContext是服务器启动时创建,服务器关闭时销毁,并且只有一个
- request的作用域太小,ServletContext的作用域太大
- request(请求域)< session(会话域) < application(ServletContext应用域)
- ServletContext的作用域为什么太大,例如在一个服务器里面有100个用户,如果把用户登录成功的数据放在应用域中,就代表这100个人都登录成功了,显然不合理。
-
怎么获取session?从服务器中获取session对象,如果没有则新建
HttpSession session = request.getSession();
-
如果以上方法传了参数,代表从服务器中获取当前session对象,如果获取不到,则不会新建返回一个对象。
HttpSession session = request.getSession(false);
-
session的实现原理:
- [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-m0aGGQMM-1669280189349)(C:\Users\dell\AppData\Roaming\Typora\typora-user-images\1667393684526.png)]
- 在web服务器中有一个session列表,类似于map集合
- key为sessionid
- value为session对象
- 用户第一次发送请求的时候:服务器会创建一个新的session对象,同时给session对象生成一个id,然后web服务器将session的id发送给浏览器,浏览器的session的id保存在浏览器的缓存中。(可以f12看响应头部)
- 用户第二次请求时,会自动将浏览器中的sessionid自动发送给服务器,服务器获取到sessionid然后从session列表中查找到对应的session对象。(可以f12看请求头部)
- 关闭浏览器,内存消失,cookie消失,sessionid消失,等同于会话结束
-
session对象什么时候销毁
-
超时销毁------浏览器可能一直没关,但是超时了,session就没了
-
手动销毁-----安全退出按钮
-
session.invalidate(); //手动销毁session
-
-
-
设置超时时长
<session-config> <session-timeout>30</session-timeout> </session-config>
-
cookie禁用:
- 服务器正常发送cookie给浏览器,但是浏览器拒收。
- 导致每次是新的session
- 但是服务器产生的session对象没有销毁
- 禁用了如何实现session机制?
- 利用url重写机制
- 在浏览器地址栏输入:localhost:8080/servlet02/test/session;JSESSIONID=F8784ECAE831F914779353CA949D03D9
- 格式:地址后面加分号“;”,然后写jsessionid=,可以直接获取该id的页面
- 注意:禁用了浏览器基本上用不了了
-
JSP九大内置对象中,有session对象。因为JSP也是一个Servlet
-
这样会产生什么?
- 如果登录界面是JSP,那么在此次会话中会自动创建一个session
- 但是登录界面如果登录成功会往session里面放数据,所以登录失败虽然有session但是不要紧
-
如何禁用JSP中创建的session?
-
让jsp的九大内置对象没有session对象
<%@page session="false"%>
-
-