會話?
web應用程序的請求與響應是基于HTTP,為無狀態通信協議,服務器不會維護上一次請求和下一次請求之間的關系,然而有些功能是必須由多次請求完成的,例如購物車:用戶可能在多個物品頁面采購物品,web應用程序必須要有個方式來得知用戶在這些網頁中采購了哪些商品,這種維護上一次請求和下一次請求間關系的方式,就成為會話管理(Session Management)
使用Cookie實現會話管理
Cookie是瀏覽器存儲信息的一種方式,服務器可以設置響應頭set-cookie,瀏覽器接收然后將該頭部傳輸過來的數據以文件的形式存儲在本地
public class Cookie implements Cloneable, Serializable {
private static final CookieNameValidator validation;
private static final long serialVersionUID = 1L;
private final String name;
private String value;
private int version = 0;
private String comment;
private String domain;
private int maxAge = -1;
private String path;
private boolean secure;
private boolean httpOnly;
public Cookie(String name, String value) {
validation.validate(name);
this.name = name;
this.value = value;
}
public void setComment(String purpose) {
this.comment = purpose;
}
public String getComment() {
return this.comment;
}
public void setDomain(String pattern) {
this.domain = pattern.toLowerCase(Locale.ENGLISH);
}
public String getDomain() {
return this.domain;
}
public void setMaxAge(int expiry) {
this.maxAge = expiry;
}
public int getMaxAge() {
return this.maxAge;
}
public void setPath(String uri) {
this.path = uri;
}
public String getPath() {
return this.path;
}
public void setSecure(boolean flag) {
this.secure = flag;
}
public boolean getSecure() {
return this.secure;
}
public String getName() {
return this.name;
}
public void setValue(String newValue) {
this.value = newValue;
}
public String getValue() {
return this.value;
}
public int getVersion() {
return this.version;
}
public void setVersion(int v) {
this.version = v;
}
public Object clone() {
try {
return super.clone();
} catch (CloneNotSupportedException var2) {
throw new RuntimeException(var2);
}
}
public void setHttpOnly(boolean httpOnly) {
this.httpOnly = httpOnly;
}
public boolean isHttpOnly() {
return this.httpOnly;
}
static {
String prop = System.getProperty("org.apache.tomcat.util.http.ServerCookie.STRICT_NAMING");
boolean strictNaming;
if(prop != null) {
strictNaming = Boolean.parseBoolean(prop);
} else {
strictNaming = Boolean.getBoolean("org.apache.catalina.STRICT_SERVLET_COMPLIANCE");
}
if(strictNaming) {
validation = new RFC2109Validator();
} else {
validation = new NetscapeValidator();
}
}
}
// cookie就是瀏覽器維護的key-value數據
Cookie cookie = new Cookie("id", "233PcDdXD#");
//設置cookie的有效期,以秒為單位,默認是關閉瀏覽器就失效,這里是一個星期
cookie.setMaxAge(7 * 24 * 60 * 60);
// 設置cookie只允許在 https 協議下使用
cookie.setSecure(true);
// 設置cookie不能被瀏覽器腳本(js)獲取,能在一定程度上防止XSS攻擊
cookie.setHttpOnly(true);
// response.addCookie()其實就是給響應頭set-cookie添加值
response.addCookie(cookie);
// request可以獲取到該網頁所屬域中的所有cookie
Cookie[] cookies = request.getCookies();
// 操作cookie中的數據
if (cookies != null) {
for (Cookie cook :cookies) {
String key = cook.getName();
String value = cook.getValue();
}
}
HttpSession
public interface HttpSession {
long getCreationTime();
String getId();
long getLastAccessedTime();
ServletContext getServletContext();
void setMaxInactiveInterval(int var1);
int getMaxInactiveInterval();
/** @deprecated */
HttpSessionContext getSessionContext();
Object getAttribute(String var1);
/** @deprecated */
Object getValue(String var1);
Enumeration<String> getAttributeNames();
/** @deprecated */
String[] getValueNames();
void setAttribute(String var1, Object var2);
/** @deprecated */
void putValue(String var1, Object var2);
void removeAttribute(String var1);
/** @deprecated */
void removeValue(String var1);
void invalidate();
boolean isNew();
}
// 1、創建會話
HttpSession session = request.getSession();
// 2、通過會話傳遞對象
session.setAttribute("key","value");
// 3、獲取會話中被傳遞的對象
session.getAttribute("key");
// 4、刪除會話中被傳遞的對象
session.removeAttribute("key");
// 5、刪除會話
session.invalidate();
HttpSession原理
1. 當通過請求對象創建當前Session對象的時候,web容器會為每個Session對象分配一個標識ID,稱作Session ID,可以通過session.getId()獲取,該Session ID默認會使用Cookie存放在瀏覽器中,當web容器時tomcat的時候,該Session ID在Cookie的名字是JSESSIONID
// 每個session都會有個標識ID,默認會存放在Cookie中,在tomcat中名稱是JSEESIONID
String sessionId = session.getId();
2. 當瀏覽器發送請求時,會將Cookie存放的Session ID一并發送過去,這樣子web容器就可以根據Session ID來找出對應HttpSession對象,這樣就可以區分各個瀏覽器中不同的會話了
3. Cookie中存放的JSESSIONID默認在瀏覽器關閉的時候失效,重啟瀏覽器的時候,將會得到一個新的JSESSIONID
4. 默認關閉瀏覽器會馬上消失的是瀏覽器上的Cookie,而不是服務器中的HttpSession;要想HttpSession立即失效必須運行invalidate()方法,否則的話,HttpSession會等到設定的時間到才會被銷毀,設定的時間可以在程序中設置,也可以在web部署表述符中配置,一般都會選擇后者
4.1 在程序中設置
// 會話不被使用自動失效時間,時間單位是:秒
session.setMaxInactiveInterval(233);
4.2 在we部署描述符中設置
<session-config>
<!-- 不被使用的Session失效時間,時間單位:分鐘 -->
<session-timeout>7</session-timeout>
<!-- Servlet3.0新特性,設置Session ID在Cookie中的屬性 -->
<cookie-config>
<!-- 自定義Session ID,在tomcat中默認名JSESSIONID -->
<name>xixihaha</name>
<!-- 定義存儲Session ID的Cookie存活時間,單位是秒 -->
<max-age>30</max-age>
</cookie-config>
</session-config>
當禁用瀏覽器中的Cookie時,會把Session ID追加在URL后;當瀏覽器第一次請求網站時,web容器并不知道瀏覽器是否禁用Cookie,所以也會把Session ID添加在URL后一并發送
小心保管Session ID,只要有人取得當次的Session ID,在另一瀏覽器相同的URL附上Session ID,就可以取得同一個 HttpSession對象
