第六章会话管理（Session）

Web应用程序基于HTTP协议• HTTP基于请求/响应模式– 所有请求都是相互独立的&＃xff0c;无连续性的• HTTP是无连接的协议– 限制每次连接只处理一个请求• HTTP是无状态的协议– 协议对于事务处理没有记忆能力


会话管理的产生

• 对于简单的页面浏览或信息获取&＃xff0c;HTTP协议即可胜任– 浏览资讯– 查看在线图书目录
• 对于需要客户端和服务器端多次交互的网络应用&＃xff0c;则必须记住客户端状态– 网上的购物车– 用户登录


会话管理概念

会话就是一个客户端连续不断地和服务器端进行请求/响应的一系列交互多次请求间建立关联的方式称为会话管理&＃xff0c;或会话跟踪
– 会话状态&＃xff0c;指服务器与浏览器在会话过程中产生的状态信息


会话的实现过程

HTTP没有提供任何记住客户端的途径&＃xff0c;服务器如何建立、维护与客户端的会话

当服务器接收到客户端的首次请求时&＃xff0c;服务器初始化一个会话并分配给该会话一个唯一标识符
– 在以后的请求中&＃xff0c;客户端必须将唯一标识符包含在请求中&＃xff0c;服务器根据此标识符将请求与对应的会话联系起来

会话管理&＃xff1a;使用COOKIE

• 所有的HTTP消息&＃xff0c;不管是请求还是响应均包含头信息– 当服务器返回响应给客户端时&＃xff0c;Servlet容器把会话的信息添加到响应头信息中– 客户端浏览器接收到响应后提取头信息&＃xff0c;并将其存储在本地机中,以后发送请求时会自动将该信息带回服务器端• 浏览器存储在客户端机器上的头信息称作COOKIE&＃xff0c;它以“属性名&＃61;属性值; …”方式组成文本信息


示例&＃xff1a;使用COOKIE实现用户登录

创建并向客户端发送COOKIE

• 创建COOKIE对象
– 调用COOKIE的构造方法&＃xff0c;给出COOKIE的名称和COOKIE的值&＃xff0c;二者都是字符串COOKIE c &＃61; new COOKIE(“userName”,”a1234”)• 设置最大时效
– 如果要告诉浏览器将COOKIE存储到磁盘上&＃xff0c;而非仅保存在内存中&＃xff0c;使用setMaxAge方法(参数为秒数)
– c.setMaxAge(60*60*24*7)//一周(正数)• 将COOKIE放入到HTTP响应中
– 使用response.addCOOKIE(c)
– 如没有这一步&＃xff0c;将不会有任何COOKIE被发送到浏览器


从客户端读取COOKIE

调用request.getCOOKIEs– 得到COOKIE对象组成的数组– 循环数组&＃xff0c;调用每个对象的getName找到想要的COOKIE– 根据应用程序调用getValue方法使用这个COOKIE


COOKIE[] COOKIEs &＃61; request.getCOOKIEs();
if(COOKIEs !&＃61; null)
{for(COOKIE COOKIE : COOKIEs){if("userId".equals(COOKIE.getName())){//doSomethingWith(COOKIE.getValue());}}
}


COOKIE的方法

• getMaxAge()/setMaxAge()– 读取/设置COOKIE到期时间(秒)• 如果值为0&＃xff0c;表示删除对应的COOKIE• 如果值为负数&＃xff0c;表示COOKIE只适用于当前的浏览会话• 默认值为-1• getName()– 读取COOKIE的名称。不存在setName方法• getValue()/setValue()– 读取/设置与COOKIE关联的值• 如果重新设置了某COOKIE的值&＃xff0c;需要用addCOOKIE()方法将其发送回去


COOKIE的优缺点

• 优点– 可配置到期规则&＃xff0c;数据可持久保存– 不需要服务器资源&＃xff0c;数据保存在客户端– 简单性&＃xff0c;基于文本的Key-Value对
• 缺点– 大小受到限制(总数300;20/站点;4KB/COOKIE)– 用户可禁用客户端接收COOKIE的功能– 潜在的安全风险


会话管理&＃xff1a;使用隐藏的表单域

• 思想
– 通过使用隐藏域&＃xff0c;由浏览器主动告知服务器多次请求间必要的信息&＃xff0c;如在线问卷作答• 优点
– COOKIE被禁用或者根本不支持的情况下依旧能够工作• 缺点
– 关掉网页后会遗失先前的请求信息
– 所有的页面必须是表单提交之后的结果


会话管理&＃xff1a;使用URL重写

• 思想
– 当服务器响应浏览器上一次请求时,将某些相关信息以超链接方式响应给
浏览器,超链接中包括请求参数信息– 由于GET方式发送请求,通常URL重写用于简单客户端信息保留,或辅助
Session会话管理


Session

在Servlet中进行会话管理&＃xff0c;可以使用HttpServletRequest的getSession()方法取得HttpSession对象(简称为Session),通过设置/获取服务器端Session对象的属性,来保留请求之间的相关信息

Servlet容器提供Session接口来代表服务器端和客户端的会话


– 当一个WEB服务器为客户端开始一个会话时,创建一个新的Session对象(含有特殊ID,称为Session ID,默认用COOKIE存放在浏览器中。在Tomcat中,COOKIE的名称为JSESSIONID)

Session将数据存储在服务器的内存中,供以后来自同一个客户端的请求使用


示例&＃xff1a;使用Session实现用户登录

使用Session对象

• 通常分三个步骤– 获取一个与请求相关联的会话• HttpSession session &＃61; request.getSession();– 从Session中设置或获取一个属性• session.setAttribute(“userName”,userName);• session.getAttribute(“userName”);– 根据需要关闭会话• session.invalidate();• 通常客户端不提供结束会话的通知&＃xff0c;而是Servlet容器在用户处于一段非活动期后就会自动的使会话失效——这个时间段称为会话的超时期


会话失效

• Session对象失效&＃xff1a;当用户超出指定会话期时间处于非活动状态时&＃xff0c;会话自动结束– setMaxInactiveInterval()&＃xff0c;设置会话的超时期– 通过web.xml的标签设置– 使用方法invalidate()• COOKIE失效– 默认关闭浏览器COOKIE消失– 在web.xml中设定存储Session ID的COOKIE存活期限


Session与URL重写

当用户浏览器禁用COOKIE时&＃xff0c;仍打算运用Session来进行会话管理&＃xff0c;可以对所有的URL使用URL重写

Session的方法

• getAttribute() – 从会话对象中提取出一个之前存储的属性值 •如果没有找到与名称相关联的值&＃xff0c;则返回null• setAttribute() – 设置会话对象的属性名称和属性值• removeAttribute() – 移除与名称关联的值• getAttributeNames() – 返回会话中所有属性的名称• getId() – 返回唯一的标识符• isNew() – 确定会话对于客户来说是否为新创建• getCreationTime() – 返回会话创建的时间• getLastAccessedTime() – 返回客户端最近一次发送请求的时间• getMaxInactiveInterval()、 – 取得或设置会话的超时期setMaxInactiveInterval() • invalidate() – 废弃当前的会话