Session
一、Session 概述
1、Session 就是一个接口(HttpSession)。
2、Session技术:服务器端会话技术,它是用来维护一个客户端和服务器之间关联的一种技术。
3、每个客户端都要一个自己的 Session 会话,在一次会话的多次请求间共享数据,将数据保存在服务器端的对象(HttpSession)中。
4、Session 会话中,经常用来保存用户登录之后的信息。
Session的作用就是在服务器端保存一些用户的数据,然后传递给用户一个名字为JSESSIONID的Cookie,这个JESSIONID对应这个服务器中的一个Session对象,通过它就可以获取到保存用户信息的Session。
二、Session 的工作原理
1、Session 的创建
(1)Session的创建时机是在 request.getSession() 方法第一次被调用时。
(2)Session被创建后,同时还会有一个名为 JSESSIONID 的 Cookie 被创建。
(3)这个 Cookie 的默认时效就是当前会话。
2、Session 的使用
(1)Session被创建后,对应的Cookie被保存到浏览器中,之后浏览器每次访问项目时都会携带该Cookie。
(2)当我们再次调用时会根据该JSESSIONID获取已经存在的Cookie,而不是在创建一个新的Cookie。
(3)如果Cookie中有JSESSIONID,但是JSESSIONID没有对应的Session存在,则会重新创建一个HttpSession对象,并重新设置JSESSIONID。
二、Session 的使用
1、创建与获取 Session
通过 HttpServletRequest 可以获取 HttpSession 对象
方法:
HttpSession session = request.getSession();
注意:当第一次调用该方法,是用于创建 Session 会话;之后再次调用,都是获取前面创建好的 Session 会话对象。
2、获取 id,判断 session 是否为新建
每个 Session 都有一个身份证号,就是 ID值,并且这个 ID 是位置的。
还可以通过 isNew() 方法来判断是不是刚创建出来的 session
方法:
String getId(): 用于获取 session的 id(唯一)
boolean isNew(): 用于判断 session 是不是新建的,true 表示是刚创建的,false 表示获取之前就已经创建了
3、Session 域对象的存取数据
Session 也相当于一个作用域,可以用来存储和获取数据
方法:
Object getAttribute(String name)
void setAttribute(String name, Object value)
void removeAttribute(String name)
二、Session 生命周期控制
基本原则:Session 对象在服务器端不能长期保持,它是有时间限制的,超过一定时间没有被访问过的 Session 对象就应该释放掉,以节约内存。
两个常用方法:
public void setMaxInactiveInterval(int interval):设置 session的超时时间(以秒为单位)超过指定的时长,session 就会被销毁;
设置值为正数的时候,设定 session 的超时时长;值为负数或为零表示永不失效
public void invalidate():让当前 session 会话马上超时无效;
1、Session 的默认的超时时长是多少?
Session 默认的超时时间长为 30分钟。
在 Tomcat 服务器的下的 conf目录下的配置文件 web.xml 中默认有以下的配置,它就表示配置了当前 Tomcat 服务器下所有的 Session 超时配置默认时长 30分钟。
Tomcat 中的配置:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
2、如何给web工程设置超时时长?
在自己的 Web 工程中的 web.xml 配置中可以配置 session 的超时时长,这样就可以修改 web 工程下所有 Session 的默认超时时长。
超时时长配置:
1 <!--表示当前 web 工程。 创建出来 的所有 Session 默认是 20 分钟 超时时长-->
2 <session-config>
3 <session-timeout>20</session-timeout>
4 </session-config>
3、如何给个别的 session 设置超时?
如果只想修改个别的 session 的超时时长,就可以使用上面的 setMaxInactiveInterval(int interval) 来进行单独的设置。
session.setMaxInactiveInterval(int interval)单独设置超时时长。
4、Session 的超时是什么?
Session 的超时是指,客户端两次请求的最大间隔时长。
Demo:
1 // session 3秒后超时
2 protected void life3(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
3 // 先获取 Session 对象
4 HttpSession session = req.getSession();
5 // 设置当前 Session3 秒后超时
6 session.setMaxInactiveInterval(3);
7 resp.getWriter().write("当前 Session 已经设置为 3 秒后超时");
8 }
9
10 //Session 马上被超时示例:
11 protected void deleteNow(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
12 // 先获取 Session 对象
13 HttpSession session = req.getSession();
14 // 让 Session 会话马上超时
15 session.invalidate();
16 resp.getWriter().write("Session 已经设置为超时(无效) ");
17 }
5、如何强制释放 Session?
session.invalidate():该方法可以让 session 立刻失效
6、可以使 Session 对象释放的情况有什么?
(1)当 Session 对象空闲时间达到了目标设置的 最大值,自动释放;
(2)Session 对象被强制失效;
(3)Web 应用卸载;
(4)服务器进程停止;
三、Session 原理
Session 技术,底层实现是基于 Cookie 技术来实现的。
原理示意图:
四、Session 细节
1、当客户端关闭后,服务器不关闭,两次获取 session 是否为同一个?
默认情况下不是同一个对象。
如果需要相同,则可以创建 cookie对象,键为 JSESSIONID,设置最大存活时间,让 cookie 持久化保存。
代码实现:
1 Cookie c = new Cookie("JSESSIONID",session.getId());
2 c.setMaxAge(60*60);
3 response.addCookie(c);
2、客户端不关闭,服务器关闭后,两次获取的 session 是同一个吗?
不是同一个,但是要确保session中数据不丢失。Tomcat 会自动完成以下工作
(1)session的钝化
在服务器正常关闭之前,将 session 对象系列化到硬盘上。
(2)session的活化
在服务器启动后,将 session 文件转化为内存中的 session 对象。
3、session 什么时候被销毁?
(1)服务器关闭时,session 对象被销毁
(2)session 对象调用 invalidate(),session 自动销毁
(3)session 默认失效时间,30分钟。可以在 web.xml 配置文件中进行修改
1 <session-config>
2 <session-timeout>30</session-timeout>
3 </session-config>
五、URL 重写
在整个会话控制技术体系中,保持 JSESSIONID 的值主要通过 Cookie 实现,但 Cookie 在浏览器端可能会被禁用,所以还需要一些备用的技术手段,如:URL 重写。
URL 重写其实就是将 JSESSIONID 的值以固定格式附着在 URL 地址后面,以实现保持 JSESSIONID,进而保持会话状态。
固定格式是:
URL;jsessionid=xxxxxxxxx
例如:
targetServlet;jsessionid=F9C893D3E77E3E8329FF6BD9B7A09957
实现方式:
response.encodeURL(String)
response.encodeRedirectURL(String)
例如:
1 //1.获取Session对象
2 HttpSession session = request.getSession();
3
4 //2.创建目标URL地址字符串
5 String url = "targetServlet";
6
7 //3.在目标URL地址字符串后面附加JSESSIONID的值
8 url = response.encodeURL(url);
9
10 //4.重定向到目标资源
11 response.sendRedirect(url);
六、Session 的活化和钝化
Session 机制很好的解决了 Cookie 的不足,但是当访问应用的用户很多时,服务器上就会创建非常多的 Session 对象,如果不对这些 Session 对象进行处理,那么在 Session 失效之前,这些 Session 一直都会在服务器的内存中存在,那么就出现了 Session 活化和钝化的机制。
Session 的钝化:Session 在一段时间内没有被使用时,会将当前存在的 Session 对象序列化到磁盘上,而不再占用服务器内存空间;
Session 的活化:Session 被钝化后,服务器再次调用 Session 对象时,将 Session 对象由磁盘加载到服务器内存中使用。
注意:如果希望 Session 域中的对象也能够随着 Session 钝化过程一起序列化到磁盘上,则对象的实现类也必须实现 java.io.Serializable 接口。不仅如此,如果对象中还包含其他对象的引用,则被关联的对象也必须支持序列化,否则会抛出异常:java.io.NotSerializableException,如果没有实现该接口,只能被序列化,不能被反序列化。
五、Session的特点
(1)session 用于存储一次会话的多次请求的数据,存在服务器端
(2)session 可以存储任意类型,任意大小的数据
session 与 cookie 的区别:
(1)session 存储数据在服务器端,cookie 在客户端;
(2)session 么有数据大小限制,cookie 有限制;
(3)session 数据安全,cookie 相对于不安全;