Chapter4 会话管理基本原理

作者 张小翔 | 发表于 | 分类于 2017级

会话管理的基本原理

Web应用程序中有些功能需要多次请求才能完成,所以需要某些方式来记得此次请求与之后请求之间的关系,这类方式称之为会话管理

会话管理的基本方式有:隐藏域(Hidden Field),Cookie,URL重写等

使用隐藏域

在HTTP协议中,服务器并没有记忆功能,那么可以让浏览器在每次请求时"主动告知"服务器多次请求间的必要信息,服务器只需单纯处理请求中的信息就好.

隐藏域就是主动告知服务器多次请求间必要信息的方式之一.

使用隐藏域的缺点:

  关掉网页后会丢失之前的信息,仅适合简单的状态管理,查看网页源码可以看到隐藏的信息,不适合用于隐秘性较高的数据.

隐藏域不是Servlet/JSP实际管理会话时的机制,实现Web应用程序会话的基本原理是由浏览器主动告知必要的信息.

Cookie 是在浏览器存储信息的一种方式,服务器可以响应浏览器 set-cookie 标头,浏览器收到标头与数值后会以文件的形式存储在计算机上,即 Cookie.

Cookie 可以设置存活期限.
Servlet可以通过Cookie类的getMaxAge()方法获取Cookie的有效期;
Servlet可以通过设置Cookie类的setMaxAge( int expiry );

//expiry默认值为 -1;
1.如果expiry大于0,则保存有效期为expire时间长度,单位毫秒;
2.如果expiry等于0,则指示浏览器删除当前cookie;
3.如果expiry小于0,则指示浏览器不保存该cookie到硬盘,就保存在内存中,浏览器关闭就消失;

创建Cookie:

1
2
3
4
5
Cookie cookie = new Cookie("user", "caterpillar");
cookie.setMaxAge(7 * 24 * 60 * 60); // 以秒为单位
// 创建cookie及其存活期限
response.addCookie(cookie);
// 将cookie加入响应之中

获取Cookie

1
2
3
4
5
6
7
8
9
10
11
12
13
Cookie[] cookies = request.getCookies();
// 取得 Cookie
if(cookies != null) {
    for (Cookie cookie : cookies) {
        String name = cookie.getName();// 获取Cookie名称
        String value = cookie.getValue();   // 获取Cookie数值
        if ("user".equals(name) && "caterpillar".equals(value)) {
            request.setAttribute(name, value);
            request.getRequestDispatcher("/user.view").forward(request, response);
            return;
        }
    }
}

Servlet 3.0 中,Cookie增加了setHttpOnly()方法,将Cookie标示为仅用于HTTP,如果浏览器支持,这个Cookie不会被客户端脚本读取,可以用isHttpOnly()方法判断是否被标示

使用 URL 重写

URL重写就是GET请求参数的应用,当服务器响应浏览器的上一次请求时,将某些相关信息以超链接的方式响应给浏览器,超链接包括请求参数信息.

由于URL重写是在超链接之后附加信息,所以必须以GET方式发送请求.

通常URL重写是用在一些简单的客户端信息保留,或者辅助会话管理.

HttpSession 会话管理

Servlet/JSP中会话管理的机制:HttpSession

使用 HttpSession

获得HttpSession实例:

1
2
3
4
5
HttpSession session = request.getSession();
// getSession()有两个版本
// 另一个可以传入布尔值作为参数, 
// 默认为true,表示尚未存在HttpSession对象时, 直接创建一个新的对象
// 如果是false,如不存在实例返回null

默认在浏览器关闭前,HttpSession都是相同的实例,如果想要让目前的HttpSession失效可以调用HttpSessioninvalidate()方法,执行这个方法后,容器会销毁回收HttpSession对象,再调用getSession()取得的对象是另一个新对象.

设置与获得属性:

  • setAttribute():设置属性
  • getAttribute():获得属性

HttpSession不是线程安全,需要注意属性设定的共享存取问题

HttpSession 会话管理原理

尝试运行HttpSessiongetSession()方法时,Web容器会创建HttpSession对象,每个对象都有一个特殊的ID: Session ID,可以用HttpSessiongetId()来取得Session ID,ID默认使用Cookie存储在浏览器中.

HttpSession中存放的属性也存放在服务端的Web容器里,当浏览器请求应用程序时,会将Cookie中的Session ID 一同发送给应用程序里,Web容器会根据得到的ID找到对应的Session对象,这样就可以取得各浏览器的各自的会话数据.

Web容器存储Session ID的Cookie默认设置当浏览器被关闭就失效,浏览器重新启动后由于ID失效,尝试getSession()后,容器会产生新的HttpSession对象,如果不使用invalidate()使对象立即失效,对象会等到设定的失效期间过后才会被销毁回收.

设置HttpSession对象失效时间的方法:

  • 调用该对象的setMaxInactiveInterval()方法,设定浏览器多久没请求应用程序的话就自动失效,单位为

  • 也可以在web.xml中修改,设定的单位是分钟

    1
    2
    3
    4
    5
    6
    <web-app...>
        ...
        <session-config>
        <session-timeout>30</session-timeout>
        </session-config>
    </web-app>

HttpSession的属性中尽量不要存储耗资源的对象,必要时将属性移除(public void removeAttribute(String name)),或者让其失效.

Servlet 3.0 中新增了SessonCookieConfig接口,可以通过ServleContextgetSessionCookieConfig()取得该接口的对象,通过这个接口的实现对象可以设定存储Session ID的Cookie相关的信息,设定必须在ServletContext初始化之前

  • 在web.xml中设定
  • 实现ServletContextListener

HttpSession 与 URL 重写

因为HttpSession默认使用Cookie来存储ID,如果浏览器禁用Cookie,还想使用HttpSession来进行会话管理的话,可以搭配URL重写,向浏览器响应一段超链接,超链接URL附加上Session ID,单击超链接后将Session ID以GET请求发送给Web应用程序.

如果要使用URL重写的方式发送Session ID,可以使用HttpServletResponseencodeURL()协助产生需要的URL,如果Cookie可用,将URL本身输出,如果不可以会自动产生带有Session ID的URL重写.