HttpSession

1.会话管理的基本原理

HTTP是无状态的连接，所以服务器处理完一次请求后，浏览器的下次请求的处理就是一次新的请求处理，即HTTP无法处理多次请求/响应之间的数据联系

 

会话管理其实就是数据的管理

 

会话管理的几种方式

1.隐藏字段的使用

在关掉网页后，就会失去先前的请求信息，所以这种方式仅适合用于一些简单的状态管理

 

2.cookie的使用

web应用程序会话管理的基本方式，就是在此次请求中，将下次请求时服务器所应知道的信息先响应给浏览器，由浏览器在之后的请求中再一并发送给应用程序，如此应用程序就可以得知多次请求间的相关资料

 

http中：

响应中使用set-cookie标头设置，服务器端

请求中使用cookie设置，浏览器端，服务器端使用getCookie取得

(多个Cookie就是之间用;隔开)

如：

 

 

  Set-Cookie

 

  _javaeye3_session_=BAh7CDoQX2NzcmZfdG9rZW4iMW9HWlVPRkxCTFZJQitSS2lmRE5lQTBkbm9rSjhaeDZyMVJuOFBTdTVRWjg9Ogx1c2VyX2lkaQOWag46D3Nlc3Npb25faWQiJTJiOTY4N2MyZWE2NWJkNmVjNWQ3ZmMxODhjMGEwYzcy--9a3ae183b38fc074fe1538ad4719245f8eebebe4;

 domain=.iteye.com;

path=/; HttpOnly

 

 

 

  Cookie

 

 

  _javaeye_cookie_id_=1318156621552103; __utma=191637234.1174786066.1318911811.1335851767.1336107035.38; __utmz=191637234.1336107035.38.33.utmcsr=baidu|utmccn=(organic)|utmcmd=organic|utmctr=iteye; lzstat_uv=2377518682192423256|729007@2719331@0; remember_me=no; _javaeye3_session_=BAh7CDoQX2NzcmZfdG9rZW4iMW9HWlVPRkxCTFZJQitSS2lmRE5lQTBkbm9rSjhaeDZyMVJuOFBTdTVRWjg9Og9zZXNzaW9uX2lkIiUyYjk2ODdjMmVhNjViZDZlYzVkN2ZjMTg4YzBhMGM3MjoMdXNlcl9pZGkDlmoO--7fa67852f6eff9f3275076e373e686380b065420; __utmb=191637234.2.10.1336107035; __utmc=191637234

 

浏览器保存的Cookie有此Cookie的所对应的服务器主机

 

3.URL重写的使用

 

URL重写就是GET请求参数的应用。即服务器响应浏览器上一次请求的时候，将某些相关的信息以超链接的方式响应给浏览器。

 

4.HttpSession会话管理

把会话期间需要的信息保存在HttpSession属性中。

 

getSession()时，web容器会建立一个HttpSession对象，并且每个HttpSession对象都会有一个Session ID，这个Session ID默认使用Cookie（set-cookie）将其存放在浏览器中。在Tomcat中，Cookie的名称是JSESSIONID。

 

当浏览器请求应用程序时，会将Cookie中存放的Session ID一并发送给应用程序，Web容器根据Session ID来找出对应的HttpSession对象，如此就可以取得各个浏览器的会话数据。

 

    Web容器存储Session ID的Cookie被设置为关闭浏览器就会失效，，所以重新打开浏览器请求应用程序时，通过getSession()所取得的是新的HttpSession对象。这时原来的HttpSession就会无效，必须执行invalidate()让其失效，不然其会等到设置的失效时间过后才被容器销毁并回收。

    以上也意味着，关闭浏览器后若想保存信息，必须自己操作Cookie来达成。

 

Ps：

HttpSession对象会占据内存空间，所以其属性不能保存大型的对象，必要时可将属性移除，不使用HttpSession,执行invalidate()让HttpSession失效。

可以执行setMaxInactiveInterval()方法，设置浏览器在多久没有请求应用程序的情况下，HttpSession就会自动失效，单位是秒。也可以在web.xml 中设置，但设置的单位是分

 

<session-config>

  <session-timeout>30</session-timeout>

</session-config>

 

 

 

5.HttpSession与URL重写

    HttpSession默认是使用Cookie来保存Session ID，如果浏览器禁用了Cookie功能，则需要除了使用Cookie外，搭配URL重写的方式，向浏览器响应一段超链接，URL之后附加Session ID。用户点击超链接之后，则将Session ID以GET请求的方式发送给web应用程序。

 

    如果使用URL重写的方式来发送Session ID,则可以使用HttpSeverletResponse的encodeURL()来协助产生所需的URL重写。

    当容器尝试取得HttpSession实例时，若可以从HTTP请求中取得带有Session ID的Cookie，encodeURL()会将设置给它的URL原封不动的输出。若无法得到Cookie(没有Cookie项)(通常是浏览器禁用了Cookie)，encodeURL()会自动产生带有Session ID的URL重写。

 

Ps：

    浏览器第一次请求网站时(本地没有服务器应用程序的Cookie)，请求中没有Cookie项，所以容器并不知道浏览器是否禁用Cookie，所以容器的做法( 响应 )是Cookie（发送set-cookie）与URL重写都做.

因此若servelt有以下的语句，无论浏览器有无禁用Cookie，第一次请求时，都会显示编上Session ID的URL。

 

request.getSession() ; //默认的设置set-cookie

out.println(response.encodeURL("index.jsp")) ; //请求中没有cookie标头则加上Session ID

 

当再次请求时，如果浏览器没有禁用Cookie，则容器可以从Cookie中取得Session ID,此时encodeURL()就只输出index.jsp.若禁用了Cookie，encodeURL会加上Session ID

 

另一方面HttpServletResponse的encodeRedirectURL()方法进行重定向时，可以在浏览器重定向时，在URL(这里是请求的URL)上加上Seesion ID