关于session认识的几个误区
1.浏览器窗口关闭,session就会随之过期了?
这种观点在不少web开发人员中非常流利,实际上是不对的。session是有一个过期时间的,只要是session的过期时间没到,session就不会过期。以tomcat为例。tomcat的默认的session的过期时间是30分钟,可以在项目的web.xml里面重新设置这个值:
<session-config>
<session-timeout>20</session-timeout>
</session-config>
2.服务器停掉了,session也就过期了?
还是那句话,只要是session的过期时间没到,session就不会过期。
还是以tomcat为例,服务器关掉的时候,tomcat会把当前还没失效的session存放到${TOMCAT_HOME}\work\Catalina\localhost\项目名\SESSIONS.ser文件里面。当下次tomcat启动的时候,tomcat会把这个文件里面的session重新读到内存。
因此:
(1)如果存到session里面的数据是不可序列化的,tomcat在把session写到文件的时候就会出错。
(2)只要你的session还没过期,期间tomcat重启了,是不会影响客户端的连接的。
总之,一句话:session是否过期只跟“到没到过期时间”有关,跟浏览器窗口和服务器是否关闭都没有关系。
session的关闭的机制
HttpSession接口方法有以下几个:
isNew(): 如果客户机还不知道会话,则返回true。如果客户机已经禁用了Cookie,则会话会在每个请求上都是新的。
getId(): 返回包含分配给这个会话的唯一标识的字符串。在使用URL改写以标识会话时比较有用。
setAttribute(): 使用指定的名称将对象绑定到这个会话。
getAttribute(): 返回绑定到此会话的对象。
setMaxInactiveInterval(): 指定在Servlet使该会话无效之前客户机请求间的时间。负的时间表是会话永远不会超时。
invalidate(): 终止当前会话,并解开与它绑定的对象。HttpSession对象生存在服务器上,通过Cookie或者URL这类后台机制自动关联到请求的发送者。Session的超时也是由服务器来控制。 每个Session 有一个唯一的SessionID。
第一次请求的时候,服务器创建一个Session,并告诉浏览器一个关于Session的唯一性标识,接下来每次请求的时候浏览器要将Session的唯一性标识告诉服务器。在服务端有个session列表,存了所有的session的相关信息,包括session 的timeout信息。在你关了浏览器后在重新打开的时候你的浏览器已经不知道什么session了,所以他就不会发送了,但是服务器端在没 timeout和主动去撤消只前是不会消失的。
这样,也就不难理解以下几个事实了:
1.在使用HttpSessionListener对会话事件进行监听的时候,当我们关闭浏览器时却并没有马上触发sessionDestroyed事件。这是因为服务器端根本不知道客户端已经关闭了浏览器,它那边还没有结束会话。
2.我们在使用JavaBean时如果将Scope设定为Session,那么JavaBean中的属性值在我们关闭浏览器后会马上被清空。这是因为关闭了浏览器再重新打开的时候浏览器已经不知道刚才的那个session了,所以他不会再向浏览器发送刚才的那个会话的ID了。
第一种方法(继承SessionAware类来取得session,然后用invalidate()方法清理)