1、session在不同环境下的不同含义

（1）session，中文经常翻译为会话，其本来的含义是指有始有终的一系列动作/消息，比如打电话是从拿起电话拨号到挂断电话这中间的一系列过程可以称之为一个session。

（2）session在Web开发环境下的语义又有了新的扩展，它的含义是指一类用来在客户端与服务器端之间保持状态的解决方案；有时候Session也用来指这种解决方案的存储结构。

2、Session机制

（1）session机制采用的是在服务器端保持 HTTP 状态信息的方案 。

（2）服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。

（3）当程序需要为某个客户端的请求创建一个session时，服务器首先检查这个客户端的请求里是否包含了一个session标识(即sessionId),如果已经包含一个sessionId则说明以前已经为此客户创建过session，服务器就按照session id把这个session检索出来使用(如果检索不到，可能会新建一个，这种情况可能出现在服务端已经删除了该用户对应的session对象，但用户人为地在请求的URL后面附加上一个JSESSION的参数)。如果客户请求不包含sessionId，则为此客户创建一个session并且生成一个与此session相关联的sessionId，这个session id将在本次响应中返回给客户端保存。

3、Session cookie

（1）session通过SessionID来区分不同的客户, session是以cookie或URL重写为基础的，默认使用cookie来实现，系统会创造一个名为JSESSIONID的输出cookie，这称之为session cookie,以区别persistent cookies(也就是我们通常所说的cookie，上一章所讲的),session cookie是存储于浏览器内存中的，并不是写到硬盘上的，通常看不到JSESSIONID，但是当把浏览器的cookie禁止后，web服务器会采用URL重写的方式传递Sessionid，这时地址栏看到。

（2）session cookie针对某一次会话而言，会话结束session cookie也就随着消失了，而persistent cookie只是存在于客户端硬盘上的一段文本。

（3）关闭浏览器，只会是浏览器端内存里的session cookie消失，但不会使保存在服务器端的session对象消失，同样也不会使已经保存到硬盘上的持久化cookie消失。

4、小示例

（1）新建一个session.jsp

（2）在浏览器访问，多次访问，都是这个sessonid

5、HttpSession 的生命周期

5.1、什么时候创建 HttpSession 对象

①. 对于 JSP: 是否浏览器访问服务端的任何一个 JSP, 服务器都会立即创建一个HttpSession 对象呢？不一定。

    > 若当前的 JSP 是客户端访问的当前 WEB 应用的第一个资源，且 JSP 的 page 指定的 session 属性值为 false, 则服务器就不会为 JSP 创建一个 HttpSession 对象。

    > 若当前 JSP 不是客户端访问的当前 WEB 应用的第一个资源，且其他页面已经创建一个 HttpSession 对象，则服务器也不会为当前 JSP 页面创建一个 HttpSession 对象，而回会把和当前会话关联的那个 HttpSession 对象返回给当前的 JSP 页面。

②. 对于 Serlvet: 若 Serlvet 是客户端访问的第一个 WEB 应用的资源,则只有调用了 request.getSession() 或 request.getSession(true) 才会创建 HttpSession 对象。

5.2、page 指令的 session=“false“ 到底表示什么意思？

> 当前 JSP 页面禁用 session 隐含变量！但可以使用其他的显式的 HttpSession 对象。

5.3、在 Serlvet 中如何获取 HttpSession 对象？

> request.getSession(boolean create): create 为 false, 若没有和当前 JSP 页面关联的 HttpSession 对象, 则返回 null; 若有, 则返回 truecreate 为 true, 一定返回一个 HttpSession 对象. 若没有和当前 JSP 页面关联的 HttpSession 对象, 则服务器创建一个新的HttpSession 对象返回, 若有, 直接返回关联的。

 > request.getSession(): 等同于 request.getSession(true)。

5.4、 什么时候销毁 HttpSession 对象

①. 直接调用 HttpSession 的 invalidate() 方法: 该方法使 HttpSession 失效。

②. 服务器卸载了当前 WEB 应用。

③. 超出 HttpSession 的过期时间.

> 设置 HttpSession 的过期时间: session.setMaxInactiveInterval(5)，单位为秒。

> 在 web.xml 文件中设置 HttpSession 的过期时间，单位为分钟：30。

<session-config>

        <session-timeout>30</session-timeout>

</session-config>

④. 并不是关闭了浏览器就销毁了HttpSession。

5.5、示例：

（1）禁用 session 隐含变量

（2）访问当前页面

（3）先访问其他页面，再访问session.jsp页面

（4）销毁 HttpSession 对象

还有其他方式。。。

6、HttpSession接口中的方法

getId方法

getCreationTime方法

getLastAccessedTime方法

setMaxInactiveInterval方法

getMaxInactiveInterval方法

isNew方法：如果客户端请求消息中返回了一个与Servlet程序当前获得的HttpSession对象的会话标识号相同的会话标识号，则认为这个HttpSession对象不是新建的。

invalidate方法

getServletContext方法

setAttribute方法

getAttribute方法

removeAttribute方法

getAttributeNames方法

（1）login.jsp

（2）hello.jsp

（3）logout.jsp

（4）访问login.jsp

（5）输入用户名，点提交

（6）点重新登录

（7）点注销

（8）重新加载该页面

7、利用URL重写实现Session跟踪

（1）Servlet规范中引入了一种补充的会话管理机制，它允许不支持Cookie的浏览器也可以与WEB服务器保持连续的会话。这种补充机制要求在响应消息的实体内容中必须包含下一次请求的超链接，并将会话标识号作为超链接的URL地址的一个特殊参数。

（2）将会话标识号以参数形式附加在超链接的URL地址后面的技术称为URL重写。如果在浏览器不支持Cookie或者关闭了Cookie功能的情况下，WEB服务器还要能够与浏览器实现有状态的会话，就必须对所有可能被客户端访问的请求路径（包括超链接、form表单的action属性设置和重定向的URL）进行URL重写。

（3）HttpServletResponse接口中定义了两个用于完成URL重写方法：encodeURL方法、encodeRedirectURL方法。

示例：

8、JavaWeb中的相对路径和绝对路径

（1）绝对路径： 相对于当前 WEB 应用的路径，在当前 WEB 应用的所有的路径前都添加 contextPath 即可。

（2）/ 什么时候代表站点的根目录, 什么时候代表当前 WEB 应用的根目录

若 / 需要服务器进行内部解析, 则代表的就是 WEB 应用的根目录；若是交给浏览器了, 则 / 代表的就是站点的根目录。若 / 代表的是 WEB 应用的根目录, 就不需要加上 contextPath 了。

使用相对路径可能会有问题, 但使用绝对路径肯定没有问题。

9、表单的重复提交

9.1、避免表单的重复提交

调用 RequestDispatcher.forward() 方法，浏览器所保留的URL 是先前的表单提交的 URL，此时点击”刷新”, 浏览器将再次提交用户先前输入的数据，引起重复提交；如果采用 HttpServletResponse.sendRedirct() 方法将客户端重定向到成功页面，将不会出现重复一条问题。

9.2、利用Session防止表单重复提交

（1）包含有FORM表单的页面必须通过一个服务器程序动态产生，服务器程序为每次产生的页面中的FORM表单都分配一个唯一的随机标识号，并在FORM表单的一个隐藏字段中设置这个标识号，同时在当前用户的Session域中保存这个标识号。

（2）当用户提交FORM表单时，负责接收这一请求的服务器程序比较FORM表单隐藏字段中的标识号与存储在当前用户的Session域中的标识号是否相同，如果相同则处理表单数据，处理完后清除当前用户的Session域中存储的标识号。在下列情况下，服务器程序将忽略提交的表单请求：

①当前用户的Session中不存在表单标识号；

②用户提交的表单数据中没有标识号字段；

③存储在当前用户的Session域中的表单标识号与表单数据中的标识号不同。

（3）浏览器只有重新向WEB服务器请求包含FORM表单的页面时，服务器程序才又产生另外一个随机标识号，并将这个标识号保存在Session域中和作为新返回的FORM表单中的隐藏字段值。

9.3、示例代码

（1）index.jsp

（2）TokenServlet.java

（3）访问index.jsp

（4）点击一次Submit

（5）再点刷新按钮，

（6）重复提交了。。。

10、利用Session实现一次性验证码

基本原理（和表单重复提交一致）

（1）在原表单页面，生成一个验证码的图片，生成图片的同时，需要把该图片中的字符串放入到 session 中；

（2）在原表单页面, 定义一个文本域，用于输入验证码；

（3）在目标的Servlet中获取session和表单域中的验证码的值；

（4）比较两个值是否一致：若一致，受理请求，且把 session 域中的验证码属性清除；若不一致，则直接通过重定向的方式返回原表单页面，并提示用户 "验证码错误"。

11、验证码案例

（1）index.jsp

（2）web.xml

（3）CheckCodeServlet.java

（4）ValidateColorServlet.java

（5）访问index.jsp

（6）输入正确的验证码

（7）控制台打印出

（8）输入错误的验证码

（9）提示验证码不一致

推荐阅读：Java视频教程

关注公众号：Java后端生活，干货文章第一时间送达！