1、服务器如何确保在一次会话范围内,多次获取的Session对象是同一个?
- Session的实现是依赖于Cookie的。
- 第一次获取Session,没有Cookie,会在内存中创建一个新的Session对象,同时在响应头中设置set-cookie:JSESSIONID = Session对象ID。
- 后续请求其他资源时,请求头会携带上次的cookie:JESSIONID = Session对象ID。
- 服务器自动获取请求头重的cookie信息,根据cookie信息去查找内存中id为JESSIONID的Session对象,找到后返回此Session对象的标记。
- 所以通过cookie的方式确保再一次会话范围内多次获取的Session对象为同一个。
2、当客户端关闭后,服务器不关闭,两次获取Session是否为同一个?
默认情况下,不是同一个,Session依赖于Cookie,Cookie在浏览器关闭时会被销毁,并且Session只在一次会话中获取的Session对象为同一个,客户端关闭意味着会话结束。
-
如果需要相同,则可以创建Cookie,设置Cookie键为JESSIONID,值为session.getid(),然后设置Cookie最大存活时间,让Cookie持久化保存。
Cookie cookie = new Cookie("JSESSIONID", session.getId()); cookie.setMaxAge(60 * 60); response.addCookie(cookie); 还是上面那句话,Session的实现是依赖于Cookie的。
3、客户端不关闭,服务器关闭后,两次获取Session是否为同一个?
-
不是同一个,但是会因此引发问题:原操作的数据,在服务器重启后会丢失(购物车结算案例)。
解决方法:
Session的钝化:在服务器正常关闭之前,将session对象系列化到磁盘上。
Session的活化:在服务器启动后,将Session文件转化为内存中的Session对象即可。
Tomcat已帮忙处理了Session的钝化和活化,钝化即在正常关闭(./shutdown.sh)Tomcat时,会在Tomcat主目录work子目录对应项目文件夹下生成.ser文件,存储了session对象。活化即在重启Tomcat时,Tomcat自动读取该.ser文件,转化为内存中的Session对象,同时删除该.ser文件。
IDEA可以实现Session的钝化,但无法实现Session的活化。原因在于IDEA在重启Tomcat时,会删除原存储.ser文件的work目录,同时生成新的work目录,所以无法读取.ser文件,自然无法实现Session的活化。
4、Session的失效时间(Session什么时候被销毁)?
服务器关闭。
Session对象调用invalidate()方法。
-
Session默认失效时间:30min,Tomcat的conf目录下web.xml文件中自行配置。
<session-config> <session-timeout>30</session-timeout> </session-config>
5、Session的特点
- Session用于存储一次会话的多次请求的数据,存在服务器端。
- Session用于存储任意类型、任意大小的数据。
- Session与Cookie的区别:
- Session存储数据在服务器端,Cookie在客户端。
- Session没有数据大小限制,Cookie有大小限制,应尽量保证Cookie个数小于20个(根据浏览器的不同而不同)。
- Session数据安全,Cookie相对不安全。
欢迎访问个人博客www.lemonlzy.cn
