Java web session失效时间配置及详解

最新推荐文章于 2024-05-02 05:39:27 发布
最新推荐文章于 2024-05-02 05:39:27 发布
阅读量6.9k 收藏 19
点赞数 2
分类专栏: 项目部署 文章标签: session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u011937566/article/details/84387481
版权

一 关于session

1 session机制

在web程序中使用session来记录客户端状态,是服务器端使用的一种记录客户端状态的机制。

session技术则是服务端的解决方案,通过服务器保持状态的。

session通常被翻译成会话,通常大家把客户端(浏览器)与服务器之间的一系列交互动作称为一个session。基于此,会提到session持续的时间以及session过程中进行了什么操作等。

另外session也指服务端为客户端开辟的存储空间,在其中保存的信息就是用于保存状态。基于此,会提到向session中存放了什么内容以及会根据键值从session中匹配的内容等。

通常来讲,要使用session必须要先创建session,具体来说是在服务器端运行的过程中创建的,在Java web中通过调用HttpServletRequest的getSession()方法(使用true作为参数)创建的。创建session的同时,服务器会为该session生成一个唯一的session id,这个session id 在随后的请求中会被用来重新获取已经创建的session。

当然,在创建session后,就能往session中添加内容了,但这些内容只会保存在服务器中,发送到客户端的只有session id。当客户端再次发送请求的时候,会将这个session id带上(通过session id 辨别是哪个客户端),服务器接受到请求之后就会根据session id 找到对应的session,从而再次使用。这样的交互过程使得用户的状态能够保持。

2 什么是session

1)session是不同于cookie的一种记录客户状态的机制,保存在服务端(cookie客户端)。

2)客户端浏览器在访问服务端的时候,服务器把客户端信息以某种形式记录在服务器上,这就是session。

3 实现用户登陆

在Java中session对应的类为Javax.servlet.HttpSession类。每个访问者对应一个session对象,所有该客户的状态信息都保存在这个session对象中。session对象是在客户端第一次请求服务器的时候创建的。session是一种key-value的属性对,通过getAttribute(StringKey)和setAttribute(String key,Object value)方法读写客户状态信息。

在servlet(action、controller等)可以通过request.getSession()方法获取该客户的session:

    HttpSession session = request.getSession(); // 获取Session对象

    session.setAttribute("loginTime", new Date()); // 设置Session中的属性

    System.out.println("登录时间为:" +(Date)session.getAttribute("loginTime")); // 获取Session属性

request还可通过getSession(boolean create)来获取session,区别在于如该客户的session不存在,request.getSession()方法会返回null,而getSession(true)会创建session再将session返回。

在servlet中必须使用request来编程式获取HttpSession对象,而Jsp中内置了Session隐藏对象,可以直接使用。当声明了<%@page session="false">,则session隐藏对象不可以使用。

Person.java

 

package test.session.bean;

import java.io.Serializable;
import java.util.Date;

public class Person implements Serializable{
    private String username;
    private String password;
    private int age;
    private Date birthday;
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public String getPassword() {
        return password;
    }
    public void setPassword(String password) {
        this.password = password;
    }
    public int getAge() {
        return age;
    }
    public void setAge(int age) {
        this.age = age;
    }
    public Person(String username, String password, int age) {
        super();
        this.username = username;
        this.password = password;
        this.age = age;
    }
    public Date getBirthday() {
        return birthday;
    }
    public void setBirthday(Date birthday) {
        this.birthday = birthday;
    }
    public Person(String username, String password, int age, Date birthday) {
        super();
        this.username = username;
        this.password = password;
        this.age = age;
        this.birthday = birthday;
    }
}
 

index.jsp

 

<%@ page language="java" pageEncoding="UTF-8"%>
<jsp:directive.page import="test.session.bean.Person"/>
<jsp:directive.page import="java.text.SimpleDateFormat"/>
<jsp:directive.page import="java.text.DateFormat"/>
<jsp:directive.page import="java.util.Date"/>
<%!
    DateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd");         // 日期格式化器
%>
<%
    response.setCharacterEncoding("UTF-8");        // 设置request编码
    Person[] persons =
    {           
       // 基础数据,保存三个人的信息
        new Person("zhangsan","zhangsan", 34, dateFormat.parse
        ("1982-01-01")),
        new Person("lisi","lisi", 23, dateFormat.parse
        ("1984-02-21")),
        new Person("wangmazi", "wangmazi",23, dateFormat.parse
        ("1994-09-12"))
     };

    String message = "";                      // 要显示的消息

    if(request.getMethod().equals("POST"))
    { 
        // 如果是POST登录       
        for(Person person :persons)
        {           
           // 遍历基础数据,验证账号、密码
           // 如果用户名正确且密码正确
           if(person.getUsername().equalsIgnoreCase(request.getParameter("username"))&&person.getPassword().equals(request.getParameter("password")))
           {              
               // 登录成功,设置将用户的信息以及登录时间保存到Session
               session.setAttribute("person", person);                   // 保存登录的Person
               session.setAttribute("loginTime", new Date());          // 保存登录的时间              
               response.sendRedirect(request.getContextPath() + "/welcome.jsp");
               return;
            }
        }      
        message = "用户名密码不匹配,登录失败。";       // 登录失败
    }
%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01Transitional//EN">
<html>

 <form action="session.jsp" method="post">
    <label>用户名</label> <input type="text" value="" name="username"><br>
    <label>密   码</label><input  type="password" value="" name="password">
    <input type="submit" value="登陆">
 </form>
</html>

welcome.jsp

<%@ page language="java" pageEncoding="UTF-8"%>
<jsp:directive.page import="test.session.bean.Person"/>
<jsp:directive.page import="java.text.SimpleDateFormat"/>
<jsp:directive.page import="java.text.DateFormat"/>
<jsp:directive.page import="java.util.Date"/>
<%!
    DateFormat dateFormat = new SimpleDateFormat("yyyy-MM-dd");         // 日期格式化器
%>
<%
    Person person =(Person)session.getAttribute("person");                       // 获取登录的person
    Date loginTime =(Date)session.getAttribute("loginTime");                     // 获取登录时间
%>
            <table>
               <tr><td>您的姓名:</td>
                   <td><%= person.getUsername()%></td>
               </tr>
               <tr><td>登录时间:</td>
                   <td><%= loginTime%></td>
               </tr>
               <tr><td>您的年龄:</td>
                   <td><%= person.getAge()%></td>
               </tr>
               <tr><td>您的生日:</td>
                   <td><%=dateFormat.format(person.getBirthday()) %></td>
               </tr>
            </table>

ps: 当多个客户端执行程序时,服务器会保存多个客户端的Session。获取Session的时候也不需要声明获取谁的Session。Session机制决定了当前客户只会获取到自己的Session,而不会获取到别人的Session。各客户的Session也彼此独立,互不可见。

虽然session的使用比cookie方便,但过多的session存储在服务器的内存中,会对服务器造成压力。

3 session的生命周期

session保存在服务器端,为求响应速度,一般被存放在内存中。每个访问的用户都有一个独立的session,为避免内存溢出,session内容应该精简。

session在用户第一次访问服务器时创建,只有访问jsp、servlet等程序时才会创建session,如果只访问html、image等静态资源并不会创建session。如果尚未生成session,也可以使用request.getSession(true)强制生成session。

session生成后,如若用户继续访问,服务器就会更新session的最后访问时间,并维护该session。用户每访问一次服务端(无论读写),服务端都认为该用户的session活跃(active)了一次。

4 session有效期

因用户访问服务器越来越多造成session越来越多,未防止内存溢出,服务器会把长时间没有活跃的session从内存中删除,这个时间点就是session的超时时间。如超过了超时时间没有访问服务器,那么session自动失效

session的超时时间为maxInactiveInterval属性,可通过对应的getMaxInactiveInterval()获取,通过setMaxInactiveInterval(long interval)修改。

5 session的常用方法

session中包括了很多方法,常用如下:

1)void setAttribute(String attribute,Object value):设置session属性。value参数可以为任何Java Object。一般为Java bean。value信息一般不宜过大。

2)String getAttribute(String attribute):返回session属性

3)Enumeration getAttributeNames(): 返回session中存在的session属性名称

4) void removeAttribute(String attribute):移除session属性

5) String getId():返回session id,该id由服务器自动创建,不会重复

6)long getCreationTime():返回session的创建日期,返回类型为long,常被转换成Date类型。

7)long getLastAccessedTime():返回session的最后活跃时间,返回类型为long

8) int getMaxInactiveInterval():返回session的超时时间,单位为秒。超过该时间没有访问,服务器认为session失效

9)void setMaxInactiveInterval(int second):设置session的超时时间,单位为秒

10)void putValue(String attribute,Object value):不推荐,已经被setAttribute(String attribute, Object Value)替代

11)Object getValue(String attribute):不被推荐的方法。已经被getAttribute(String attr)替代

12)boolean isNew():返回该Session是否是>新创建的

13)void invalidate():使该Session失效

6 session与浏览器

session需要客户端浏览器的支持,毕竟session需要使用cookie作为标志。鉴于http协议无状态,session不能根据http连接判断是否为同一客户,服务器需向浏览器发送一个名为JSESSIONID的Cookie,其值为该session的id。session根据该cookie来识别是否为同一用户。

该cookie为服务器自动生成,它的maxAge属性一般为-1,表示只在当前浏览器中有效,且各浏览器窗口间不共享,关闭浏览器就会失效

即在同一计算机的两个浏览器窗口访问服务时,会生成两个不同的session,但由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的cookie,因此会共享一个session。

PS:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择“在新窗口中打开”时,子窗口便可以访问父窗口的Session。

如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?例如,绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案:URL地址重写。

7 URL地址重写

URL地址重写是对客户端不支持Cookie的解决方案。URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie,也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL(Stringurl)实现URL地址重写,例如:

 

<td> <a href="<%=response.encodeURL("index.jsp?c=1&wd=Java") %>"> Homepage</a> </td>

该方法会自动判断客户端是否支持Cookie。如果客户端支持Cookie,会将URL原封不动地输出来。如果客户端不支持Cookie,则会将用户Session的id重写到URL中。重写后的输出可能是这样的:

<td> <a href="index.jsp;jsessionid=0CCD096E7F8D97B0BE608AFDC3E1931E?c=1&wd=Java">Homepage</a> </td>

即在文件名的后面,在URL参数的前面添加了字符串“;jsessionid=XXX”。其中XXX为Session的id。分析一下可以知道,增添的jsessionid字符串既不会影响请求的文件名,也不会影响提交的地址栏参数。用户单击这个链接的时候会把Session的id通过URL提交到服务器上,服务器通过解析URL地址获得Session的id。

二 Java 设置session超时(失效)的时间

tomcat中session的默认超时时间是30分钟,可以通过三种方法设置失效时间。

1 在web容器中设置(如tomcat)

在tomcat-7.0\conf\web.xml中设置:

可以根据需要修改,负数或者0表示不限制session失效时间,一般取值在1-1440(一分钟到一天)。这个session的设置时间是根据服务器来计算,不是根据客户端计算。调试的时候应该修改服务端时间测试,而不是客户端。

2 在项目的web.xml中设置

这里是1440分钟失效

3 通过Java代码设置

session.setMaxInactiveInterval(30*60);//以秒为单位,即在没有活动30分钟后,session将失效

4 优先级

三种方式中:1<2<3

三 怎么动态监控session

写一个监听器,实现HttpSessionListener, HttpSessionAttributeListener两个接口,然后放在web.xml

四 session过期演示

 

1  演示案例

1.1 配置session过期时间 4分钟

1.2 实体类UserInfo.java

package test.session.bean;

public class UserInfo {
    private int id;
    private String username;
    public int getId() {
        return id;
    }
    public void setId(int id) {
        this.id = id;
    }
    public String getUsername() {
        return username;
    }
    public void setUsername(String username) {
        this.username = username;
    }
    public UserInfo() {
        super();
    }
    public UserInfo(int id, String username) {
        super();
        this.id = id;
        this.username = username;
    }
}

1.3 请求类 UserServlet

package test.session.servlet;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import test.session.bean.UserInfo;

public class UserServlet extends HttpServlet {
    private static final long serialVersionUID = 1L;
       
    public UserServlet() {
        super();
        
    }
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        request.setCharacterEncoding("UTF-8");
        UserInfo userInfo = new UserInfo();
        userInfo.setId(1);
        userInfo.setUsername("风间净琉璃");
        
        request.getSession().setAttribute("userInfo", userInfo);
        request.getSession().setAttribute("loginMessage", "用户登陆成功");
        
        request.getRequestDispatcher("showUserInfo.jsp").forward(request, response);
    }

    protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
            doGet(request, response);
    }

}

1.4 session监听器 SessionListener

package test.session.listener;

import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionAttributeListener;
import javax.servlet.http.HttpSessionBindingEvent;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

public class SessionListener implements HttpSessionListener,HttpSessionAttributeListener{

    private  long attributeAddTime;
    @Override
    public void attributeAdded(HttpSessionBindingEvent event) {
        System.out.println("添加属性:"+event.getName());
        attributeAddTime = System.currentTimeMillis();
    }

    @Override
    public void attributeRemoved(HttpSessionBindingEvent event) {
        System.out.println("移除属性"+event.getName());
        long attributeRemoveTime = System.currentTimeMillis();
        long attributeSaveTime=(attributeRemoveTime-attributeAddTime)/1000;
        System.out.println("数据保存时间"+attributeSaveTime+"秒");
    }

    @Override
    public void attributeReplaced(HttpSessionBindingEvent event) {
        System.out.println("更改属性:"+event.getName());
    }

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        HttpSession session = se.getSession();
        System.out.println("session 创建 ");
        System.out.println("session id: "+session.getId());
        System.out.println("session 创建时间: "+session.getCreationTime());
        System.out.println("session 最后活跃时间:"+session.getLastAccessedTime());
        System.out.println("session 最大过期时间 :"+session.getMaxInactiveInterval());
        System.out.println("session 中的所有属性值"+session.getAttributeNames());
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        HttpSession session = se.getSession();
        System.out.println("session 销毁:"+session.getId()+"||"+session.getCreationTime()+"||"+session.getLastAccessedTime()+"||"+session.getMaxInactiveInterval()+" "+session.getAttributeNames());
    }   

}

1.4 展示用户页面 showUserInfo.jsp

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core"%>
<%@ page language="java" contentType="text/html; charset=UTF-8" isELIgnored="false" pageEncoding="UTF-8"%>
    
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>展示用户信息页面</title>
</head>
<body>
<form action="http://127.0.0.1:8080/sessiontest/UserServlet" method="post">
    <input type="submit" value="登陆">
</form>
<h6>用户名:</h6>${userInfo.username}
<h6>登陆信息:</h6>${loginMessage}
</body>
</html>

1.5 演示

如序
关注
  • 2
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
02-session-失效时间(销毁)和特点
记录java学习日常~
06-06 1735
需要注意的是,Session 机制的实现依赖于 Cookie 和 HttpSession 对象,因此如果客户端禁用了 Cookie 或服务器端使用了分布式 Session 管理方案,则可能会出现 Session 失效或数据共享失败的问题。因此,在使用 Session 机制时,需要根据应用场景和业务需求来进行合理的配置和使用,以保证应用程序的性能和安全性。另外,Session 失效时间只在 Session 对象没有被访问时才会起作用,在 Session 被访问过程中,失效时间会被重置。
JSP session配置web应用的影响
10-19
Web开发中,JavaServer Pages (JSP) 是一种常用的技术来创建动态网页。而Session在JSP中扮演着至关重要的角色,它用于跟踪用户的状态,特别是在无状态的HTTP协议中。然而,不恰当的JSP session配置可能会对web应用...
SpringMvc基础(四):基本配置
鹏哥哥Aaa
10-16 108
1.基本配置包括: (1)静态资源映射 (2)拦截器配置 (3)@ControllerAdvice (4)其他配置 ==>1)快捷的ViewController ==>2)路径匹配参数配置 2.静态资源映射 (1)程序的静态资源需要直接访问,可以在配置里继承WebMvcConfigurerAdapter并重写addResourceHandlers (2)示例 ...
常用注解
豆子的博客
03-12 1206
1.@PostConstruct说明 被@PostConstruct修饰的方法会在服务器加载Servlet的时候运行,并且只会被服务器调用一次,类似于Serclet的inti()方法。被@PostConstruct修饰的方法会在构造函数之后,init()方法之前运行。 2.@PreDestroy说明 被@PreDestroy修饰的方法会在服务器卸载Servlet的时候运行,并且只会被服务器调用一次...
Web开发中的Session详解及原理分析_web开发中session是什么时候生成的,他与浏览器之间是怎样实现会话保持的
最新发布
2401_84297265的博客
05-02 114
为了解决所有服务器共享一个Session,那么Session就不能单独的保存在自己的Web容器中,而是要保存在一个公共的会话仓库(Session Repository)中,也就是说所有的服务器都要访问这同一个仓库,这样所有服务器的状态便都一致了。协议是无状态的协议,也就是说一旦数据交换完毕,客户端与服务器端的连接就会关闭,等再次交换数据就需要建立新的连接,这就意味着服务器无法从连接上跟踪会话。Cookie有个数和大小的限制,大小一般是4k,但是不同的浏览器,具体的Cookie大小也是不同的。
java修改session默认过期时间
wy978651775的专栏
11-06 2971
java修改session默认过期时间        程序中session都有一个默认的过期时间,其中tomcat中的默认时间为30分钟,根据需要我们可以去手动设置session过期时间,以下是设置session过期时间的三个方法:     1.在tomcat-->conf-->conf/web.xm中的中设置:               30    
java设置session过期时间
liujiding的博客
08-24 8701
session的取值范围是1-1440(就是24小时 ) 1. 在web容器中设置(以tomcat为例,Tomcat默认session超时时间为30分钟) 在D:\Program Files\apache-tomcat-8.0.26\conf\web.xml中设置,以下是tomcat 8.0中的默认配置: 30 2. 在项目工程的web.xml中设置
关于WebSession失效
写代码的蜗牛
01-16 2868
不要过于相信Session的Timeout属性,如果你把它设置为24小时,则很难相信24小时之后用户的Session还在。Session是否存在,不仅仅依赖于Timeout属性,以下的情况都可能引起Session丢失(所谓丢失就是在超时以前原来的Session无效)。 下面介绍一种情况  bin目录中的文件被改写。Asp.net有一种机制,为了保证dll重新编译之后,系统正常运行,它会重新启动
时间不同步导致Spring session失效的巨坑
悠亦悠的博客
11-11 3895
Linux服务器时间不同步导致Spring session失效的巨坑 由于业务的需要,将原本单机环境转为集群式环境,为了不修改任务所以选择了spring session + redis作为session共享方案。 确认技术方案之后就在网上巴拉巴拉的搜索一堆关于spring session的资料,看了一遍没有发现前人有任何躺坑后,开始着手。 安装redis过程忽略。 根据资料一步一步的将sp...
web.xml配置详解
12-05
Java Web开发中,`web.xml`文件是应用的核心配置文件,它被称为部署描述符(Deployment Descriptor)。这个文件主要用于定义应用程序的行为,包括Servlet、Filter、Listener等组件的配置,以及URL映射、会话超时、...
Web.xml配置详解
01-30
9. `session-config`可以设置会话超时时间,当会话在一段时间无活动后自动失效。 10. `mime-mapping`允许指定特定文件类型的MIME类型,确保服务器正确处理文件。 11. `welcome-file-list`定义了当用户访问目录而不是...
JSP 中Session详解及原理分析
10-19
另外,Cookie可以设置过期时间,而Session通常在用户关闭浏览器或达到服务器配置的超时时失效Session和Cookie在应用场景上有所不同。如果需要在多个页面间保持用户状态,但又不希望数据暴露在客户端,那么...
JavaWeb Session 会话管理实例详解
09-01
JavaWeb Session 会话管理是Web开发中一种重要的技术,用于在用户的不同请求之间保持状态。在Web应用中,由于HTTP协议的无状态性,每次请求都是独立的,无法识别同一用户的不同操作。Session机制解决了这个问题,...
发送验证码存到Session的页面显示时间和系统失效时间
更阑一霎的博客
01-14 1318
【人生三不争】不与领导争锋,不与同事争宠,不与下级争功。 【注】此文章主要说的是Session的用法,并不能成功发送验证码,读者可以在成功发送验证码后,将验证码存放到Session中并设置验证码在前端页面显示的一分钟和验证码的10分钟失效时间。 验证码存到Session的页面显示时间和系统失效时间 下面模拟一个发送验证码接口,将验证码存放到Session,并设置一分钟内不能持续发送验证码,...
session过期时间设置
weixin_43975276的博客
07-22 6449
可以设施session过期时间的地方有三处。 第一:在tomcat/conf/web.xml里面进行配置,单位是分钟,永不过期可以设置-1。 <session-config> <session-timeout>5</session-timeout> </session-config> 第二:在项目的web.xml文件里面配置,但是也是分钟。 <session-config> <session-timeout&gt
JavaWebSession手动设置过期时间的三个方法 简单易用
一只柠檬阿
01-29 3189
注意! 由于服务器内存资源很宝贵 保存session至服务器硬盘需谨慎 ; = =| !! 开发都是范围越小,优先级越高,所以这仨的配置应用的优先级 分别 逐个降低 ,代码中配置的为优先应用,其次才是Web程序中的web.xml文件,最后才是 Tomcat配置文件中的; 1, 在代码中手写设置设置为-1表示永不过期,示例代码如下 , 这里的单位是:秒: ...
jsp之内置对象session过期时间
angula
03-27 1760
通过设置内建对象session对象的过期时间,使用户提交的信息保存300秒,超时后让用户重新登录。保存到session中,并在有效期限内刷新页面,显示用户的提交信息,如果超过预设时间则弹出对话框,确认后返回提交信息页面 5_2_1.jsp <%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%> <%...
页面静态化+过期时间
weixin_30383279的博客
10-17 261
代码: <?phpHeader("content-type:text/html;charset=UTF-8");$gid = $_GET['news_id']+0;//商品id$goods_statis_file = "goods_file_".$gid.".html";//对应静态页文件$expr = 10;//静态文件有效期,秒if(file_exists($goods_statis_...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值