会话管理

会话？

web应用程序的请求与响应是基于HTTP，为无状态通信协议，服务器不会维护上一次请求和下一次请求之间的关系，然而有些功能是必须由多次请求完成的，例如购物车：用户可能在多个物品页面采购物品，web应用程序必须要有个方式来得知用户在这些网页中采购了哪些商品，这种维护上一次请求和下一次请求间关系的方式，就成为会话管理（Session Management）

使用Cookie实现会话管理

Cookie是浏览器存储信息的一种方式，服务器可以设置响应头set-cookie，浏览器接收然后将该头部传输过来的数据以文件的形式存储在本地

public class Cookie implements Cloneable, Serializable {
    private static final CookieNameValidator validation;
    private static final long serialVersionUID = 1L;
    private final String name;
    private String value;
    private int version = 0;
    private String comment;
    private String domain;
    private int maxAge = -1;
    private String path;
    private boolean secure;
    private boolean httpOnly;

    public Cookie(String name, String value) {
        validation.validate(name);
        this.name = name;
        this.value = value;
    }

    public void setComment(String purpose) {
        this.comment = purpose;
    }

    public String getComment() {
        return this.comment;
    }

    public void setDomain(String pattern) {
        this.domain = pattern.toLowerCase(Locale.ENGLISH);
    }

    public String getDomain() {
        return this.domain;
    }

    public void setMaxAge(int expiry) {
        this.maxAge = expiry;
    }

    public int getMaxAge() {
        return this.maxAge;
    }

    public void setPath(String uri) {
        this.path = uri;
    }

    public String getPath() {
        return this.path;
    }

    public void setSecure(boolean flag) {
        this.secure = flag;
    }

    public boolean getSecure() {
        return this.secure;
    }

    public String getName() {
        return this.name;
    }

    public void setValue(String newValue) {
        this.value = newValue;
    }

    public String getValue() {
        return this.value;
    }

    public int getVersion() {
        return this.version;
    }

    public void setVersion(int v) {
        this.version = v;
    }

    public Object clone() {
        try {
            return super.clone();
        } catch (CloneNotSupportedException var2) {
            throw new RuntimeException(var2);
        }
    }

    public void setHttpOnly(boolean httpOnly) {
        this.httpOnly = httpOnly;
    }

    public boolean isHttpOnly() {
        return this.httpOnly;
    }

    static {
        String prop = System.getProperty("org.apache.tomcat.util.http.ServerCookie.STRICT_NAMING");
        boolean strictNaming;
        if(prop != null) {
            strictNaming = Boolean.parseBoolean(prop);
        } else {
            strictNaming = Boolean.getBoolean("org.apache.catalina.STRICT_SERVLET_COMPLIANCE");
        }

        if(strictNaming) {
            validation = new RFC2109Validator();
        } else {
            validation = new NetscapeValidator();
        }

    }
}

// cookie就是浏览器维护的key-value数据
Cookie cookie = new Cookie("id", "233PcDdXD#");

//设置cookie的有效期，以秒为单位，默认是关闭浏览器就失效，这里是一个星期
cookie.setMaxAge(7 * 24 * 60 * 60);

// 设置cookie只允许在 https 协议下使用
cookie.setSecure(true);

// 设置cookie不能被浏览器脚本（js）获取，能在一定程度上防止XSS攻击
cookie.setHttpOnly(true);

// response.addCookie()其实就是给响应头set-cookie添加值
response.addCookie(cookie);

// request可以获取到该网页所属域中的所有cookie
Cookie[] cookies = request.getCookies();

// 操作cookie中的数据
if (cookies != null) {
    for (Cookie cook :cookies) {
        String key = cook.getName();
        String value = cook.getValue();
    }

}

HttpSession

public interface HttpSession {
    long getCreationTime();

    String getId();

    long getLastAccessedTime();

    ServletContext getServletContext();

    void setMaxInactiveInterval(int var1);

    int getMaxInactiveInterval();

    /** @deprecated */
    HttpSessionContext getSessionContext();

    Object getAttribute(String var1);

    /** @deprecated */
    Object getValue(String var1);

    Enumeration<String> getAttributeNames();

    /** @deprecated */
    String[] getValueNames();

    void setAttribute(String var1, Object var2);

    /** @deprecated */
    void putValue(String var1, Object var2);

    void removeAttribute(String var1);

    /** @deprecated */
    void removeValue(String var1);

    void invalidate();

    boolean isNew();
}

// 1、创建会话
HttpSession session = request.getSession();

// 2、通过会话传递对象
session.setAttribute("key","value");

// 3、获取会话中被传递的对象
session.getAttribute("key");

// 4、删除会话中被传递的对象
session.removeAttribute("key");

// 5、删除会话
session.invalidate();

HttpSession原理

1. 当通过请求对象创建当前Session对象的时候，web容器会为每个Session对象分配一个标识ID，称作Session ID，可以通过session.getId()获取，该Session ID默认会使用Cookie存放在浏览器中，当web容器时tomcat的时候，该Session ID在Cookie的名字是JSESSIONID

// 每个session都会有个标识ID，默认会存放在Cookie中，在tomcat中名称是JSEESIONID
String sessionId = session.getId();

2. 当浏览器发送请求时，会将Cookie存放的Session ID一并发送过去，这样子web容器就可以根据Session ID来找出对应HttpSession对象，这样就可以区分各个浏览器中不同的会话了
3. Cookie中存放的JSESSIONID默认在浏览器关闭的时候失效，重启浏览器的时候，将会得到一个新的JSESSIONID
4. 默认关闭浏览器会马上消失的是浏览器上的Cookie，而不是服务器中的HttpSession；要想HttpSession立即失效必须运行invalidate()方法，否则的话，HttpSession会等到设定的时间到才会被销毁，设定的时间可以在程序中设置，也可以在web部署表述符中配置，一般都会选择后者
4.1 在程序中设置

// 会话不被使用自动失效时间，时间单位是：秒
session.setMaxInactiveInterval(233);

4.2 在we部署描述符中设置

<session-config>
    <!-- 不被使用的Session失效时间，时间单位：分钟 -->
    <session-timeout>7</session-timeout>
    <!-- Servlet3.0新特性，设置Session ID在Cookie中的属性 -->
    <cookie-config>
        <!-- 自定义Session ID，在tomcat中默认名JSESSIONID -->
        <name>xixihaha</name>
        <!-- 定义存储Session ID的Cookie存活时间，单位是秒 -->
        <max-age>30</max-age>
    </cookie-config>
</session-config>

当禁用浏览器中的Cookie时，会把Session ID追加在URL后；当浏览器第一次请求网站时，web容器并不知道浏览器是否禁用Cookie，所以也会把Session ID添加在URL后一并发送
小心保管Session ID，只要有人取得当次的Session ID，在另一浏览器相同的URL附上Session ID，就可以取得同一个 HttpSession对象

最后编辑于：2017.12.03 05:29:41

人面猴
序言：七十年代末，一起剥皮案震惊了整个滨河市，随后出现的几起案子，更是在滨河造成了极大的恐慌，老刑警刘岩，带你破解...
沈念sama阅读 219,701评论 6赞 508
死咒
序言：滨河连续发生了三起死亡事件，死亡现场离奇诡异，居然都是意外死亡，警方通过查阅死者的电脑和手机，发现死者居然都...
沈念sama阅读 93,649评论 3赞 396
救了他两次的神仙让他今天三更去死
文/潘晓璐我一进店门，熙熙楼的掌柜王于贵愁眉苦脸地迎上来，“玉大人，你说我怎么就摊上这事。” “怎么了？”我有些...
开封第一讲书人阅读 166,037评论 0赞 356
道士缉凶录：失踪的卖姜人
文/不坏的土叔我叫张陵，是天一观的道长。经常有香客问我，道长，这世上最难降的妖魔是什么？我笑而不...
开封第一讲书人阅读 58,994评论 1赞 295
港岛之恋（遗憾婚礼）
正文为了忘掉前任，我火速办了婚礼，结果婚礼上，老公的妹妹穿的比我还像新娘。我一直安慰自己，他们只是感情好，可当我...
茶点故事阅读 68,018评论 6赞 395
恶毒庶女顶嫁案：这布局不是一般人想出来的
文/花漫我一把揭开白布。她就那样静静地躺着，像睡着了一般。火红的嫁衣衬着肌肤如雪。梳的纹丝不乱的头发上，一...
开封第一讲书人阅读 51,796评论 1赞 308
城市分裂传说
那天，我揣着相机与录音，去河边找鬼。笑死，一个胖子当着我的面吹牛，可吹牛的内容都是我干的。我是一名探鬼主播，决...
沈念sama阅读 40,481评论 3赞 420
双鸳鸯连环套：你想象不到人心有多黑
文/苍兰香墨我猛地睁开眼，长吁一口气：“原来是场噩梦啊……” “哼！你这毒妇竟也来了？” 一声冷哼从身侧响起，我...
开封第一讲书人阅读 39,370评论 0赞 276
万荣杀人案实录
序言：老挝万荣一对情侣失踪，失踪者是张志新（化名）和其女友刘颖，没想到半个月后，有当地人在树林里发现了一具尸体，经...
沈念sama阅读 45,868评论 1赞 319
护林员之死
正文独居荒郊野岭守林人离奇死亡，尸身上长有42处带血的脓包…… 初始之章·张勋以下内容为张勋视角年9月15日...
茶点故事阅读 38,014评论 3赞 338
白月光启示录
正文我和宋清朗相恋三年，在试婚纱的时候发现自己被绿了。大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
茶点故事阅读 40,153评论 1赞 352
活死人
序言：一个原本活蹦乱跳的男人离奇死亡，死状恐怖，灵堂内的尸体忽然破棺而出，到底是诈尸还是另有隐情，我是刑警宁泽，带...
沈念sama阅读 35,832评论 5赞 346
日本核电站爆炸内幕
正文年R本政府宣布，位于F岛的核电站，受9级特大地震影响，放射性物质发生泄漏。R本人自食恶果不足惜，却给世界环境...
茶点故事阅读 41,494评论 3赞 331
男人毒药：我在死后第九天来索命
文/蒙蒙一、第九天我趴在偏房一处隐蔽的房顶上张望。院中可真热闹，春花似锦、人声如沸。这庄子的主人今日做“春日...
开封第一讲书人阅读 32,039评论 0赞 22
一桩弑父案，背后竟有这般阴谋
文/苍兰香墨我抬头看了看天上的太阳。三九已至，却和暖如春，着一层夹袄步出监牢的瞬间，已是汗流浃背。一阵脚步声响...
开封第一讲书人阅读 33,156评论 1赞 272
情欲美人皮
我被黑心中介骗来泰国打工，没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留，地道东北人。一个月前我还...
沈念sama阅读 48,437评论 3赞 373
代替公主和亲
正文我出身青楼，却偏偏与公主长得像，于是被迫代替她去往敌国和亲。传闻我的和亲对象是个残疾皇子，可洞房花烛夜当晚...
茶点故事阅读 45,131评论 2赞 356

会话管理

会话？

使用Cookie实现会话管理

HttpSession

HttpSession原理

推荐阅读更多精彩内容