有一些页面必须在登录成功的状态下才允许访问,那么当一个用户访问这些页面时,如何判断他是否已经登录成功?
想象一个例子,大型超市的会员可以以优惠价购买特定的商品,当顾客拿了这些商品去结账时,收银员会询问你是否有会员卡,如果
有,那你可以顺利用低价买到东西,如果没有,你可以去服务台办理一张,也可以不办用原价买。
session就好像是一张会员卡。
//收银员想拿到会员卡,参数是true表示如果你没有,我直接给你发一张;参数是false表示,你没有就不给你发(较少使用后)
HttpSession session=request.getSession(true);
//把你的信息录到会员卡里
session.setAttribute("user",user);
在这一次有效的session对话中,就可以通过判断 session中的user是否为空来判断用户是否登陆。
if(session.getAttribute("user")!=null)//表示用户已经登陆
维持客户端与服务端之间session会话 的方式有3种:cookie,隐藏表字段存session的ID,还有URL重写。
这三种方式都不理想。
实现 HttpSession 接口,可以在页面之间传递信息
request.getsession()可获取session对象
session的生命周期:在第一次访问服务器时被创建,服务器会自动清除长期不活动的,tomcat默认是20分钟;
session的有效期默认是1800s,但是也可以根据需要自己设置
session.setMaxInactiveInterval(10);
什么时候会过期?
两次操作之间的时间超过有效期。
session带来的隐患:
如果用户想要做的操作完成之后,保存了私密信息的session还没有过期,那么这些信息可能被不怀好意的人抓取。
解决办法是,做一个安全退出功能:
session.removeAttribute("users");//将session内的关键信息清除掉。
session.invalidate();//清空所有,包括这个session