Session
介绍
HttpSession 对象是 javax.servlet.http.HttpSession 的实例,该接口并不像 HttpServletRequest 或 HttpServletResponse 还存在一个父接口,该接口只是一个纯粹的接口。这因为 session 本身就属于 HTTP 协议的范畴。
对于服务器而言,每一个连接到它的客户端都是一个 session,servlet 容器使用此接口创建 HTTP 客户端和HTTP 服务器之间的会话。会话将保留指定的时间段,跨多个连接或来自用户的页面请求。一 个会话通常对应于一个用户,该用户可能多次访问一个站点。可以通过此接口查看和操作有关某个会话 的信息,比如会话标识符、创建时间和最后一次访问时间。在整个 session 中,最重要的就是属性的操作。
session 无论客户端还是服务器端都可以感知到,若重新打开一个新的浏览器,则无法取得之前设置的session,因为每一个 session 只保存在当前的浏览器当中,并在相关的页面取得。
作用
Session 的作用就是为了标识一次会话,或者说确认一个用户,保存用户的状态;并且在一次会话(一个用户的多次 请求)期间共享数据。我们可以通过 request.getSession() 方法,来获取当前会话的 session 对象。
//创建Session对象
HttpSession session=request.getSession();
常用方法
域对象三个数据操作方法
-
session.setAttribute(String name,Object obj);
-
Object session.getAttribute(String name);
-
session.removeAttribute(String name);
标识会话JSESSIONID
Session 既然是为了标识一次会话,那么此次会话就应该有一个唯一的标志,这个标志就是 sessionId。
每当一次请求到达服务器,如果开启了会话(访问了 session),服务器第一步会查看是否从客户 端回传一个名为 JSESSION 的 cookie,如果没有则认为这是一次新的会话,会创建一个新的 session 对象,并用唯一的 sessionId 为此次会话做一个标志。如果有 JESSIONID 这个 cookie 回传,服务器则会根据 JSESSIONID 这个值去查看是否含有 id 为 JSESSION 值的 session 对象,如果没有则认为是一个新的会话,重新创建一个新的 session 对象,并标志此次会话;如果找到了相应的 session 对象,则认为是之前标志过的一次会话,返回该 session 对象,数据达到共享。
这里提到一个叫做 JSESSION 的 cookie,这是一个比较特殊的 cookie,当用户请求服务器时,如果访问了 session,则服务器会创建一个名为 JSESSION,值为获取到的 session(无论是获取到的还是新创建的)的 sessionId 的cookie 对象,并添加到 response 对象中,响应给客户端,有效时间为关闭 浏览器。
所以 Session 的底层依赖 Cookie 来实现。
作为域对象
Session 用来表示一次会话,在一次会话中数据是可以共享的,这时 session 作为域对象存在,可 以通过 setAttribute(name,value); 方法向域对象中添加数据,通过 getAttribute(name) 从域对象中获 取数据,通过 removeAttribute(name)从域对象中移除数据。
HttpSession session = request.getSession();
session.setAttribute("key", "hello");
String key = (String) session.getAttribute("key"); session.removeAttribute("key");
数据存储在 session 域对象中,当 session 对象不存在了,或者是两个不同的 session 对 象时,数 据也就不能共享了。这就不得不谈到 session 的生命周期。
Session的销毁
(1)默认到期时间
当客户端第一次请求 servlet 并且操作 session 时,session 对象生成,Tomcat 中 session 默认的 存活时间为 30min,即你不操作界面的时间,一旦有操作,session 会重新计时。那么 session 的默认事件可以改么?答案是肯定的。可以在 Tomcat 中的 web.xml 文件中进行修改。如下:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
(2)自己设定到期时间
当然除了以上的修改方式外,我们也可以在程序中自己设定 session 的生命周期,通过 session.setMaxInactiveInterval(int); 来设定 session 的最大不活动时间,单位为秒。
HttpSession session = request.getSession();
session.setMaxInactiveInterval(5);
当然我们也可以通过 getMaxInactiveInterval(); 方法来查看当前 Session 对象的最大不活动时间。
(3)立刻失效
或者我们也可以通过 session.invalidate(); 方法让 session 立刻失效
session.invalidate();
(4)关闭浏览器
从前面的 JESSION 可知道,session 的底层依赖 cookie 实现,并且该 cookie 的有效时间为关闭浏览器,从而 session 在浏览器关闭时也相当于失效了(因为没有 JSESSION 再与之对应)。
(5)关闭服务器
当非正常关闭服务器时,session 销毁;当正常关闭服务器时,Session 将被序列化到磁盘上,在 工作空间 work 目录下的 SESSION.ser 文件中,如果对象被保存在了 Session 中,服务器在关闭时要把对象序列化到硬盘,这个对象就必须实现 Serializable 接口,下次启动服务时,自动加载到内存。
Session 失效则意味着此次会话结束,数据共享结束。
Session与Cookie的区别
1、cookie数据存放在客户的浏览器上,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上。当访问增多,会比较占用你服务器的性能,考虑到减轻服务器性能方面,应当使用cookie。
4、单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、可以考虑将登陆信息等重要信息存放为session,其他信息如果需要保留,可以放在cookie中。
807
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
