论坛首页 Java企业应用论坛

认识session

浏览 5239 次
锁定老帖子 主题:认识session
精华帖 (0) :: 良好帖 (0) :: 新手帖 (0) :: 隐藏帖 (0)
作者 正文
   发表时间:2007-07-01  
        以往我们认为在servlet中通request.getSessioin()就可以得到session,设置一些属性,就是session的功能;当客户端关闭浏览器时,session就“消失”了。这些看上去都很合理,但有些细节必须搞清楚。

1、会话跟踪的原理。
        Java Servlet API通过Session技术来跟踪会话和管理会话内容。当客户第一次连接到服务器的时候,服务器为其建立一个session(通过session.isNew()方法可以判断客户端是不是“第一次”),并分配给客户一个唯一的标识(Session ID),以后客户的每次提交请求,都要将标识一起提交(提交该标识的方法有多种),服务器根据标识找到特定的Session,用这个Session记录客户的状态。
        那么,在S与B之间,是如何传送这个Session ID的呢?
        有三种机制:
        1)SSL会话。(略)

        2)Cookies
        服务器利用响应报头 Set-Cookies来发送Cookies信息。RFC2109规范中的Set-Cookies报头格式为:
 
  1. Set-Cookies: NAME=VALUE; Comment=value; Domain=value; Max-Age=value; Path=value;
  2. Secure; Version=1*DIGIT  

如果是用于会话跟踪的Cookies,NAME的值必须是JSESSIONID。
        当浏览器接受到含有这个报头的response后,就会在内存中构建一个cookies。当它给特定的服务器(由Domain和Path值来区别)发送请求时,就会在请求报头中加入这样的信息:
  1. Cookies: JSESSIONID=*****************************************  

那么服务器就能找到对应的session,来跟踪用户了。

        3)URL重写
        当浏览器禁用了Cookies后,就只能借助URL重写了。URL重写就是在请求地址中直接加入JSESSIONID信息,如:
 
  1. http://www.hust.edu.cn/clxy/index.jsp; jsessionid=******************************  

这样,服务器也能找到对应的session,来跟踪用户。

2、具体使用。
        平常在编程的时候,似乎并没有刻意地去用Cookies,更没有使用URL重写了。那么session是怎么工作的呢?请看续篇:认识session(续)——自己动手做试验
论坛首页 Java企业应用版

跳转论坛:
Global site tag (gtag.js) - Google Analytics