锁定老帖子 主题:httpsession 详细内容整理
精华帖 (0) :: 良好帖 (6) :: 新手帖 (3) :: 隐藏帖 (0)
|
|
---|---|
作者 | 正文 |
发表时间:2011-03-13
最后修改:2011-04-20
最近在做登录和权限控制模块,用到了session,发现session的好多方法都不熟悉,而且以前也听说过JsessionId 之类session窃取的事,对这些一直都是一知半解。今天索性google了很多资料,先上sun的官网去看session的文档了解一些方法,又找了别人关于session的看法。 总结如下: 1,session是什么? what session经常译为会话,以打电话为例,从开始拨号到挂断电话就是你会话的生存周期。 2,session 做什么用的 why? 首先举个例子: 咖啡店举行 消费满5杯咖啡赠送一杯的活动,可每个人一次消费5杯的时候非常少。这时候有3种办法: 1,店员看到每个顾客时都能记住其消费了多少杯,从而给其优惠,这是协议本身具有状态 2,给每个顾客一个卡片,上面记录顾客的每次消费,这是客户端保存状态 3,给每个顾客一个卡片,卡片上只有一个编号,顾客每次的消费记录在店里,这就是 服务端有状态 而http本身是无状态的,所以我们只能使用2,3中方法,来保存一些信息。 实际采用的是第3种方法,服务器段保存一次会话所有的信息,并生成一个唯一的id,这个id没有规律而且不会重复,将这个id传回到客户段,保存到cookie中。每次访问服务器时,客户端都会偷偷将这个id传到服务器,服务器根据id查到这次会话保存的内容。就能实现会话中共享一些数据。 3,session怎样创建和销毁 ? how session是保存在内存中的,所以会有一些性能上的影响。因此本着这个原则,session是只有在使用到的时候才会被创建,如果始终没有用到session,这个session是永远不会被创建的。 比如: 访问servlet ,只要你代码中没有 request.getSession()或request.getSession(true);这两行是等价的,那session是不会创建。又 当你访问静态页面时,根本不会生成servlet,所以也不会创建session。 下面解释一些疑惑: session是第一次请求时创建的? 大家都知道 jsp是被编译成servlet才执行的,问题就在jsp编译的过程。 jsp中有个<%@ page session="true/false"%> 这个开关表示是否创建session,当你不写这行时,它会默认给你加上这句。所以会造成上面的疑惑。当然还有一些标签中可能有getSession()操作,会产生一些不必要的session。 session只能在服务端销毁,有三种途径: 1,到达session的最大请求间隔时间时,2,session。invalidate() 3,服务器进程当掉。 这里也有一些疑惑: 浏览器关闭时,session就会注销。 首先浏览器关闭时,浏览器并没有给服务器发送任何消息,所以服务器不会知道浏览器何时关闭了。 上面我们知道取得session 是因为浏览器cookie中有sessionid,而普通cookie通常会是会话cookie,也就是说浏览器关闭时,这个cookie会被注销,所以当你再访问服务器时就没有sessionid了,所以造成session关闭了的假象,如果昵称通过特殊方法将sessionid传递给服务器,你会发现session还在。 如果想让cookie保存时间长一些,就需要手动指定cookie的过期时间
4,实际项目中的难点: 1,浏览器禁用cookie 这就没办法保存sessionid了,可以采用url重写,转发,加隐藏字段等方法来将sessionid传给服务器。 如: baidu.com:jsessionid=adfasdfasdfasdfasdfafdadf?asdfasdf baidu.com?jsessionid=asdfasdfasdfadsfad&&adfdf 这根据服务器的不同实现,第一种可以将普通参数区分开。
2,多人共用session的问题 例: a 访问 baidu.com ,但他没有帐号,于是他将连接 baidu.com/login.jsp?jsessionid=adsfasdfad(这个a的sessionid) 发给B, B登录后,a就相当于用b的帐号登录了。你们可以在在本地试试。 解决方法: 当发现通过sessionid从url指定时, 创建一个新的session,将旧session的信息复制到 新sessoin中,然后将新session注销。就能防止上面那种情况了。 3,一个帐号多地方登录 比如: 你用abc帐号登录了baidu.com,有打开了一个浏览器,又用abc帐号登录了一次。当不设计敏感操作时,这无所谓,而当你做一些敏感操作时就必须禁止这样情况,防止同时操作,造成重复操作,或者数据损坏。 解决方法: 监听session,将username和sessionid对应起来,当username再次登录时,注销掉以前的session,保存现在的session,这也是一种比较不错的方案。
这是 sghcel 画的图,挺不错的: 声明:ITeye文章版权属于作者,受法律保护。没有作者书面许可不得转载。
推荐链接
|
|
返回顶楼 | |
发表时间:2011-03-14
好帖~学习了~ 原来如此啊~
|
|
返回顶楼 | |
发表时间:2011-03-14
不错!学习了,谢谢
|
|
返回顶楼 | |
发表时间:2011-03-14
解决方法: 监听session,将username和sessionid对应起来,当username再次登录时,注销掉以前的session,保存现在的session,这也是一种比较不错的方案。
我的理解是: 是不是要在application中建一个map用username做key,sessionid做value,当甲用户用A账户登陆时分配sessionid=1,则在map中加入map["A"]=1,如果乙用户也用A账户登录并分配sessionid=2,则将map["A"]=2。当甲用户在访问时发现map["A"]不等于自己的sessionid,则将本session注销。 |
|
返回顶楼 | |
发表时间:2011-03-14
tomatozq 写道 解决方法: 监听session,将username和sessionid对应起来,当username再次登录时,注销掉以前的session,保存现在的session,这也是一种比较不错的方案。
我的理解是: 是不是要在application中建一个map用username做key,sessionid做value,当甲用户用A账户登陆时分配sessionid=1,则在map中加入map["A"]=1,如果乙用户也用A账户登录并分配sessionid=2,则将map["A"]=2。当甲用户在访问时发现map["A"]不等于自己的sessionid,则将本session注销。 嗯 我就是这个意思 |
|
返回顶楼 | |
发表时间:2011-03-14
怎么都没人回复,难道大家都知道
|
|
返回顶楼 | |
发表时间:2011-03-15
讲得好详细,以前不明白的好多细节都明鸟了
|
|
返回顶楼 | |
发表时间:2011-03-15
这个确实不错,但我还有一个问题,这个保存sessionId和username中的map必然是个全局对象,这个全局对象保存到哪里,还有之前说就算浏览器关闭了session也不会消失,那么如何从map中清理无用的session.
|
|
返回顶楼 | |
发表时间:2011-03-15
qianshuiqs 写道 这个确实不错,但我还有一个问题,这个保存sessionId和username中的map必然是个全局对象,这个全局对象保存到哪里,还有之前说就算浏览器关闭了session也不会消失,那么如何从map中清理无用的session.
这个map可以保存到 servletContext中。清理session的时候,需要注册session的listener,有session销毁的操作时,就可以清除了。当对方关闭浏览器时,只能等session到期自动销毁。这就需要将session的最大请求间隔时间设计的合理一些 |
|
返回顶楼 | |
发表时间:2011-03-15
通 俗 易 懂
|
|
返回顶楼 | |