复习Session,看这一篇就够了
在网络应用中,Session对象存储特定用户会话所需的属性及配置信息,实现会话保持和跟踪,本文将详细总结Session相关的知识点。
session概述
HTTP协议是一种无状态的协议,用户通过浏览器访问服务端的每次请求都是相互独立的,服务端无法直接通过HTTP请求来判断上次请求的用户和本次请求的用户是否是同一人,当然,你可以使用Cookie来传递用户状态的标识,但是每次发起请求都必须来回传递这些Cookie数据,为了实现更多的状态跟踪,传递的Cookie数据会越来越多,这无形中增加了浏览器与服务端的数据传输的压力和复杂性,Cookie的大小不仅有限制,而且这种方式是不安全的,容易被盗取和篡改,然而session的出现正解决了这些问题。session是存储于服务端的、用于记录和保持某些状态的一种会话跟踪技术。用户通过浏览器发起请求的时候,不用每次都回传所有的Cookie值了,只要回传一个key-value的键值对就可以了,一般情况下这个key为JSESIONID,value为客户端第一次访问服务端时生成的唯一值,这个value可以标识和跟踪用户的会话信息,这个value在服务端被习惯称作sessionId。
如何传递sessionId
客户端可以通过以下三种方式将JSESSIONID的key-value键值对传递到服务端。
- 如果用户浏览器不支持Cookie或Cookie被禁止了,浏览器将会把这个key-value键值对重写到请求的URL参数中,重写的格式如/xxx/path/abcAction;key=value?paramName=paramValue,其中的key-value就是要传递的参数。服务端接收到请求后,会从URL中取到这个key对应的value,并将这个value设置到request,具体的代码是request.setRequestedSessionId。
- 如果浏览器支持Cookie,则浏览器在发请求的时候将会在Request Headers中设置key-value的请求参数,服务端接收到请求后,将会取出这个value值,同时这个value值会覆盖掉从URL中取得的值。
- 基于SSL,默认情况下不支持,只有connector.getAttribute("SSLEnabled")为true时才支持。
如何保持session会话
正常情况下,用户第一次通过浏览器请求服务端的时候是没有value的,此时服务端会通过request.getSession()方法创建一个HttpSession对象,并给它设置一个有效期,然后将这个对象存储在sessions的容器中,同时会把sessionId返回给浏览器端。如果用户再次发起请求,服务端在解析得到sessionId后,会判断sessionId对应的HttpSession是否存在,如果不存在,会创建一个HttpSession对象,并将这个对象存储在sessions的容器中,同时会把sessionId返回给浏览器端;如果存在,将可以得到对应的HttpSession对象,这个HttpSession对象可以存储很多状态或表示数据,如session.setAttribute(),从而实现会话跟踪。
session对象都有一个有效期,一般情况下,应用容器都会有一个后台线程用于检查每个session是否失效,如果失效将会被清除。而值得注意的是,调用request.getSession()时会检查对应的session对象是否过期,如果过期将会创建一个新session对象。
在应用容器重启或关闭的时候,未过期的session对象会被持久化到一个SESSIONS.ser文件中,当应用容器再次启动的时候,会重新读取SESSIONS.ser中所有未过期的session对象,并将它们存储到sessions集合中。一个应用服务器存储一套session数据。