session你应该知道的

最新推荐文章于 2022-06-07 14:35:09 发布
最新推荐文章于 2022-06-07 14:35:09 发布
阅读量968 收藏
点赞数
分类专栏: 网络安全 文章标签: session 服务器 浏览器 action url jsp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/vivilorne/article/details/3769336
版权

前一篇对cookies有了基本的了解,今天对session继续做了一些认识,整理以下知识,能让你对session有个大致的了解,当然更深入和细致的还有一箩筐的知识,用到的时候继续学习。

 

1. Session是什么,为什么需要session?

Session,也叫会话,在计算机术语里session是指一个终端用户与交互系统进行通信的时间间隔,通常指从注册进入系统到注销退出系统之间所经过的时间。 具体到web中的session指的就是用户在浏览某个网站时,从进入网站到浏览器关闭所经过的这段时间,也就是用户浏览这个网站所花费的时间。

一个session的概念需要包括特定的客户端,特定的服务器端以及不中断的操作时间。a用户和c服务器建立连接时所处的session同b用户和c服务器中建立连接时所处的sessions是两个不同的session。

Session在WEB技术中占有非常重要的份量。Session的出现也是源于HTTP协议的无状态性。在这里再强调一下:cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案。由于网页是一种无状态的连接程序,因此你无法得知用户的浏览状态。因此我们必须通过session记录用户的有关信息,以供用户再次以此身份对web服务器提供要求时作确认,例如,我们在某些网站中常常要求用户登录,但我们怎么知道用户已经登录了呢,如果没有session的话,登录信息是无法保留的,那岂不要让用户在每一页网页中都要提供用户名和密码。

2. 理解Session机制

session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构来保存信息。

当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。

保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID,而。比如weblogic对于web应用程序生成的cookie,JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764,它的名字就是JSESSIONID。

由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一种是作为查询字符串附加在URL后面,表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
这两种方式对于用户来说是没有区别的,只是服务器在解析的时候处理的方式不同,采用第一种方式也有利于把session id的信息和正常程序参数区分开来。为了在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。

另一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如下面的表单

<form name="testform" action="/xxx">
<input type="text">
</form>
在被传递给客户端之前将被改写成
<form name="testform" action="/xxx">
<input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764">
<input type="text">
</form>

这种技术现在已较少应用,笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。实际上这种技术可以简单的用对action应用URL重写来代替。

在谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家提出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的 HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。

恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。

3.HTTPSession中的一些细点:

(1)、session在何时被创建

一个常见的误解是以为session在有客户端访问时就被创建,然而事实是直到某server端程序调用 HttpServletRequest.getSession(true)这样的语句时才被创建,注意如果JSP没有显示的使用 <%@page session="false"%> 关闭session,则JSP文件在编译成Servlet时将会自动加上这样一条语句HttpSession session = HttpServletRequest.getSession(true);这也是JSP中隐含的session对象的来历。

由于session会消耗内存资源,因此,如果不打算使用session,应该在所有的JSP中关闭它。

(2)、session何时被删除

综合前面的讨论,session在下列情况下被删除a.程序调用HttpSession.invalidate();或b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置;或c.服务器进程被停止(非持久session)

(3)、如何做到在浏览器关闭时删除session
严格的讲,做不到这一点。可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作,然后向服务器发送一个请求来删除session。但是对于浏览器崩溃或者强行杀死进程这些非常规手段仍然无能为力。  

(4)、存放在session中的对象必须是可序列化的吗
不是必需的。要求对象可序列化只是为了session能够在集群中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。在Weblogic Server的session中放置一个不可序列化的对象在控制台上会收到一个警告。我所用过的某个iPlanet版本如果session中有不可序列化的对象,在session销毁时会有一个Exception,很奇怪。

(5)、如何才能正确的应付客户端禁止cookie的可能性
对所有的URL使用URL重写,包括超链接,form的action,和重定向的URL。相关资料可查询:http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770

(6)、开两个浏览器窗口访问应用程序会使用同一个session还是不同的session
对session来说是只认id不认人,因此不同的浏览器,不同的窗口打开方式以及不同的cookie存储方式都会对这个问题的答案有影响

(7)、如何防止用户打开两个浏览器窗口操作导致的session混乱 
    这个问题与防止表单多次提交是类似的,可以通过设置客户端的令牌来解决。就是在服务器每次生成一个不同的id返回给客户端,同时保存在session里,客户端提交表单时必须把这个id也返回服务器,程序首先比较返回的id与保存在session里的值是否一致,如果不一致则说明本次操作已经被提交过了。可以参看《J2EE核心模式》关于表示层模式的部分。需要注意的是对于使用javascript window.open打开的窗口,一般不设置这个id,或者使用单独的id,以防主窗口无法操作,建议不要再window.open打开的窗口里做修改操作,这样就可以不用设置。

 


~~~~~~~~~~~~believe yourself ,nothing is impossible, write in 01.13.2009 by vivilorne~~~~~~~~~~~~~

vivilorne
关注
专栏目录
【SpringBoot】18、SpringBoot中使用Session共享实现分布式部署
Asurplus
06-10 21万+
前言:我们知道,在单体项目中,我们将用户信息存在 session 中,那么在该 session 过期之前,我们都可以从 session 中获取到用户信息,通过登录拦截,进行操作 但是分布式部署的时候,我们请求的服务器可能不是同一台服务器,那么我们就必须要面对 session 共享的问题,下面介绍的是在 SpringBoot 实现 session 共享的方式 一、创建项目 创建 SpringBoot 项目,选择 Maven 依赖 最终 pom.xml 文件如下: <!-- redis的依赖 --&g
Web开发中的session
liangxz0311的专栏
04-06 1128
在web开发中,session是个非常重要的概念。在许多动态网站的开发者看来,session就是一个变量,而且其表现像个黑洞,他只需要将东西在合适的时机放进这个洞里,等需要的时候再把东西取出来。这是开发者对session最直观的感受,但是黑洞里的景象或者说session内部到底是怎么工作的呢?当笔者向身边的一些同事或朋友问及相关的更进一步的细节时,很多人往往要么含糊其辞要么主观臆断,所谓知其然而不知
Session详解(一)
zhijingzhi的博客
06-07 1192
一、术语session在我的经验里,session这个词被滥用的程度大概仅次于transaction,更加有趣的是transactionsession在某些语境下的含义是相同的。session,中文经常翻译为会话,其本来的含义是指有始有终的一系列动作/消息,比如打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。有时候我们可以看到这样的话“在一个浏览器会话期间,...”,这里的会话一词用的就是其本义,是指从一个浏览器窗口打开到关闭这个期间①。最混乱的是“用户(客户端)在一次会话
session详解
xianyadong的博客
07-30 3740
session: 一般译作会话,从不同层面看待session,它有着类似但不全然相同的含义。如:从web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用开发者看来,用户登录时我需要创建数据结构以存储用户的登录信息,这个结构也叫作session。因此在谈论session的时候要注意上下文环境。 session一般是在web应用的背景之...
关于会话(session),你应该了解这些
BUG
04-25 9686
一、什么是会话 会话Session代表的是客户端与服务器的一次交互过程,这个过程可以是连续也可以是时断时续的。在Servlet中(jsp),一旦用户与服务端交互,服务器tomcat就会为用户创建一个session,同时前端会有一个jsessionid,每次交互都会携带。如此一来,服务器只要在接到用户请求时候,就可以拿到jsessionid,并根据这个ID在内存中找到对应的会话session,当拿到...
前端网络基础 - Session
程序员阿甘的博客
03-15 1万+
Cookie实现身份认证的简单方案 基于Cookie实现在浏览器端保存服务器端生成的用户登录状态,并且浏览器端每次请求服务器都会携带用户登录状态cookie。 那么 登录状态cookie 该如何设计呢? 首先,cookie需要帮助服务器知道请求者是谁,所以cookie中应该包含登录用户的名字 然后,cookie需要包含用户密码,这样才能证明我是我。 即:服务器端在首次登录的响应中设置两个响应头Set-Cookie,分别为用户名和密码。 Cookie的安全性 cookie由于保存在浏...
Session原理
热门推荐
小白学编程
06-18 26万+
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 开发工具与关键技术:Java,HTTP协议,session原理 撰写时间:2019-06-17 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~...
使用spring-session 根据sessionId 删除session
qq_35035468的博客
05-28 4513
根据sessionId 删除session前言思路步骤原理问题 前言 需求:如何保证同一个账号保证只有一个在线。(即:我在设备A上先登录账号guest,同时另外一个人在设备B上也登陆账号guest,此时,设备A上的账号将会被挤下线) 思路 账号登录成功后,在数据库或redis中查询当前用户绑定的sessionId 如果有值,则调用SessionRepository 删除当前session 在数据库或redis 记录当前登录账号对应的新的sessionId 步骤 在pom.xml引入依赖
Session
qq_50794782的博客
03-29 6369
1)什么是Session对象 Session对象是一个JSP内置对象,它在第一个JSP页面被装载时自动创建,完成会话期管理。从一个客户打开浏览器并连接到服务器开始,到客户关闭浏览器离开这个服务器结束,被称为一个会话。当一个客户访问一个服务器时,可能会在这个服务器的几个页面之间切换,服务器应当通过某种办法知道这是一个客户,就需要Session对象。 Session失效:1关闭服务器 2关闭浏览器 2)Session对象的ID 当一个客户首次访问服务器上的一个JSP页面时,JSP引擎产生一个Ses.
判断Session的过期时间 采用JavaScript实时显示剩余多少秒
10-30
在互联网应用中,Session(会话)是一种用于保持客户端和服务器端状态的机制。它通常用来跟踪用户的登录状态、购物车信息以及其他需要保持状态的数据。Session的有效期是限制用户登录状态的一个重要参数,超过这个...
PHP session有效期session.gc_maxlifetime
12-19
一个已知管用的方法是,使用session_set_save_handler,接管所有的session管理工作,一般是把... 大家知道Session储存在服务器端,根据客户端提供的SessionID来得到这个用户的文件,然后读取文件,取得变量的值,Ses
Web测试你需要知道的HTTP—cookie与session的实现
03-25
1. **基于 Cookie 的 Session 实现**:在这种情况下,服务器Session ID 作为 Cookie 的内容存储在浏览器的临时 Cookie 中。每当客户端发起请求时,Session ID 都会以 Cookie 形式发送给服务器。 2. **URL 重写...
PHP通过session id 实现session共享和登录验证的代码
01-21
先说说,这个机制的用途吧,到现在为止战地知道这个机制有两个方面的用途: 首先,多服务器共享session问题,这个大家应该都能够理解的,当一个网站的用户量过大,就会使用服务器集群,例如专门有一个登录用的服务器...
session的详细解释
qq_30864125的博客
06-05 2077
原文链接: https://blog.csdn.net/shenlei19911210/article/details/49510505 一、术语session   session:中文经常翻译为 ‘会话’,其本来的含义是指有始有终的一系列动作/消息,比如:打电话时从拿起电话拨号到挂断电话这中间的一系列过程可以称为一个session。在阅读技术书籍时我们可能会看到这样的话“在一个浏览器会话期间…”,这里的会话一词用的就是其本义,是指从一个浏览器窗口从打开到关闭的这一整个期间①。最混乱的是“用户(客户端)在一
谈谈NTFS数据流文件
梦涵飞雨de学习专栏
01-20 1万+
 1、什么是NTFS数据流文件?要了解NTFS流文件之前,你应该对NTFS文件系统有一定的了解, NTFS是微软Windows NT内核的系列操作系统支持的、一个特别为网络和磁盘配额、文件加密等管理安全特性设计的磁盘格式。NTFS比FAT文件系统更稳定,更安全,功能也更为强大。这个NTFS数据流文件,也叫Alternate data streams,简称ADS,是NTFS文件系统的一个
svchost进程解惑
梦涵飞雨de学习专栏
02-02 2116
启动任务管理器,会发现svchost进程有多个,很多人会猜测有病毒,其实不然,到底是怎么回事呢,下面告诉你。1. Svchost进程工作基本原理?Svchost.exe文件存在于“%system root%/system32”(例如C:/Windows/system32)目录下,它是Windows NT核心的重要进程(Windows 9X没有该进程),专门为系统启动各种服务的。例如Sv
windows 64位系统初步了解
梦涵飞雨de学习专栏
12-31 1809
    最近的工作一直涉及到64位系统,乍一听到64位的时候有些迷茫,不知道是个什么概念,所以花时间对这方面的知识做了一定的了解,以Q-A的形式总结了以下问题:1、为什么需要64位操作系统?     最简单的原因,每个人的要求都是越来越高的,有更好的东西,当然是受欢迎的。其它的原因:随着多媒体功能的渗入和硬件价格的日趋平民化,越来越多的人加入到PC应用的行列,造就了一大批进行家庭多媒体
cookies你应该知道
梦涵飞雨de学习专栏
01-07 1287
Cookie是我们浏览网络时随时伴随着我们的东西,可以经常看到很多安全软件在帮你清理系统时都会提示你要清除cookie,那么你对cookie又了解多少呢?今天就主要对相关知识作了整理学习。 1、什么是cookie?有什么作用?Cookie是数据包,不是程序,可以简单的理解为网页的一个记忆功能,网站服务器把少量的数据存储在客户端的一种技术,主要是为了方面用户。详细点说就是是你浏览某网站时
知道session和cookie的关系吗
最新发布
04-20
可以回答,Session 和 Cookie 都是在 Web 开发中用来维护用户状态的机制,不过它们的实现方式不同。Session 是在服务器端维护的一段数据,而 Cookie 是在客户端维护的一段数据。Session 的实现方式通常是在服务端...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值