会话?
web应用程序的请求与响应是基于HTTP,为无状态通信协议,服务器不会维护上一次请求和下一次请求之间的关系,然而有些功能是必须由多次请求完成的,例如购物车:用户可能在多个物品页面采购物品,web应用程序必须要有个方式来得知用户在这些网页中采购了哪些商品,这种维护上一次请求和下一次请求间关系的方式,就成为会话管理(Session Management)
使用Cookie实现会话管理
Cookie是浏览器存储信息的一种方式,服务器可以设置响应头set-cookie,浏览器接收然后将该头部传输过来的数据以文件的形式存储在本地
public class Cookie implements Cloneable, Serializable {
private static final CookieNameValidator validation;
private static final long serialVersionUID = 1L;
private final String name;
private String value;
private int version = 0;
private String comment;
private String domain;
private int maxAge = -1;
private String path;
private boolean secure;
private boolean httpOnly;
public Cookie(String name, String value) {
validation.validate(name);
this.name = name;
this.value = value;
}
public void setComment(String purpose) {
this.comment = purpose;
}
public String getComment() {
return this.comment;
}
public void setDomain(String pattern) {
this.domain = pattern.toLowerCase(Locale.ENGLISH);
}
public String getDomain() {
return this.domain;
}
public void setMaxAge(int expiry) {
this.maxAge = expiry;
}
public int getMaxAge() {
return this.maxAge;
}
public void setPath(String uri) {
this.path = uri;
}
public String getPath() {
return this.path;
}
public void setSecure(boolean flag) {
this.secure = flag;
}
public boolean getSecure() {
return this.secure;
}
public String getName() {
return this.name;
}
public void setValue(String newValue) {
this.value = newValue;
}
public String getValue() {
return this.value;
}
public int getVersion() {
return this.version;
}
public void setVersion(int v) {
this.version = v;
}
public Object clone() {
try {
return super.clone();
} catch (CloneNotSupportedException var2) {
throw new RuntimeException(var2);
}
}
public void setHttpOnly(boolean httpOnly) {
this.httpOnly = httpOnly;
}
public boolean isHttpOnly() {
return this.httpOnly;
}
static {
String prop = System.getProperty("org.apache.tomcat.util.http.ServerCookie.STRICT_NAMING");
boolean strictNaming;
if(prop != null) {
strictNaming = Boolean.parseBoolean(prop);
} else {
strictNaming = Boolean.getBoolean("org.apache.catalina.STRICT_SERVLET_COMPLIANCE");
}
if(strictNaming) {
validation = new RFC2109Validator();
} else {
validation = new NetscapeValidator();
}
}
}
// cookie就是浏览器维护的key-value数据
Cookie cookie = new Cookie("id", "233PcDdXD#");
//设置cookie的有效期,以秒为单位,默认是关闭浏览器就失效,这里是一个星期
cookie.setMaxAge(7 * 24 * 60 * 60);
// 设置cookie只允许在 https 协议下使用
cookie.setSecure(true);
// 设置cookie不能被浏览器脚本(js)获取,能在一定程度上防止XSS攻击
cookie.setHttpOnly(true);
// response.addCookie()其实就是给响应头set-cookie添加值
response.addCookie(cookie);
// request可以获取到该网页所属域中的所有cookie
Cookie[] cookies = request.getCookies();
// 操作cookie中的数据
if (cookies != null) {
for (Cookie cook :cookies) {
String key = cook.getName();
String value = cook.getValue();
}
}
HttpSession
public interface HttpSession {
long getCreationTime();
String getId();
long getLastAccessedTime();
ServletContext getServletContext();
void setMaxInactiveInterval(int var1);
int getMaxInactiveInterval();
/** @deprecated */
HttpSessionContext getSessionContext();
Object getAttribute(String var1);
/** @deprecated */
Object getValue(String var1);
Enumeration<String> getAttributeNames();
/** @deprecated */
String[] getValueNames();
void setAttribute(String var1, Object var2);
/** @deprecated */
void putValue(String var1, Object var2);
void removeAttribute(String var1);
/** @deprecated */
void removeValue(String var1);
void invalidate();
boolean isNew();
}
// 1、创建会话
HttpSession session = request.getSession();
// 2、通过会话传递对象
session.setAttribute("key","value");
// 3、获取会话中被传递的对象
session.getAttribute("key");
// 4、删除会话中被传递的对象
session.removeAttribute("key");
// 5、删除会话
session.invalidate();
HttpSession原理
1. 当通过请求对象创建当前Session对象的时候,web容器会为每个Session对象分配一个标识ID,称作Session ID,可以通过session.getId()获取,该Session ID默认会使用Cookie存放在浏览器中,当web容器时tomcat的时候,该Session ID在Cookie的名字是JSESSIONID
// 每个session都会有个标识ID,默认会存放在Cookie中,在tomcat中名称是JSEESIONID
String sessionId = session.getId();
2. 当浏览器发送请求时,会将Cookie存放的Session ID一并发送过去,这样子web容器就可以根据Session ID来找出对应HttpSession对象,这样就可以区分各个浏览器中不同的会话了
3. Cookie中存放的JSESSIONID默认在浏览器关闭的时候失效,重启浏览器的时候,将会得到一个新的JSESSIONID
4. 默认关闭浏览器会马上消失的是浏览器上的Cookie,而不是服务器中的HttpSession;要想HttpSession立即失效必须运行invalidate()方法,否则的话,HttpSession会等到设定的时间到才会被销毁,设定的时间可以在程序中设置,也可以在web部署表述符中配置,一般都会选择后者
4.1 在程序中设置
// 会话不被使用自动失效时间,时间单位是:秒
session.setMaxInactiveInterval(233);
4.2 在we部署描述符中设置
<session-config>
<!-- 不被使用的Session失效时间,时间单位:分钟 -->
<session-timeout>7</session-timeout>
<!-- Servlet3.0新特性,设置Session ID在Cookie中的属性 -->
<cookie-config>
<!-- 自定义Session ID,在tomcat中默认名JSESSIONID -->
<name>xixihaha</name>
<!-- 定义存储Session ID的Cookie存活时间,单位是秒 -->
<max-age>30</max-age>
</cookie-config>
</session-config>
当禁用浏览器中的Cookie时,会把Session ID追加在URL后;当浏览器第一次请求网站时,web容器并不知道浏览器是否禁用Cookie,所以也会把Session ID添加在URL后一并发送
小心保管Session ID,只要有人取得当次的Session ID,在另一浏览器相同的URL附上Session ID,就可以取得同一个 HttpSession对象
