创建session学习-request.getSession()

转载自：http://hi.baidu.com/chentjj

在HttpServlet中，HttpSession对象通常在request.getSession(true)方法调用时才创建。 HttpSession的使用是有代价的，需要占用服务器资源，本着能不浪费就不浪费的原则，我希望系统中的session都在掌握之中，在需要创建时由我们的代码明确创建。但是最近在开发中发现，新的session对象经常在意料之外出现，究竟是谁在创建session呢？

最常见的地方是错误的使用request.getSession()函数，通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况，正常的判断应该是这样：

 

private   boolean   ifFlagExistInSession(HttpServletRequest request) {     HttpSession session = request.getSession( false );     if   (session != null ) {         if   (session.getAttribute( "flagName" )   != null ) {             return   true ;         }     }    return   false ;}

而下面的写法，则可能会生成一个新的不在我们意图之外的session：

private   boolean   ifFlagExistInSession(HttpServletRequest request) {      HttpSession session = request.getSession();   // a new session created if no session exists      if (session.getAttribute("flagName")   != null) {         return true;       }     return false;}

注意request.getSession() 等同于 request.getSession(true)，除非我们确认session一定存在或者sesson不存在时明确有创建session的需要，否则请尽量使用request.getSession(false)。

FeedBack:
# re: 谁在创建session(1)-不恰当的request.getSession()
2007-12-19 15:33 | 隔叶黄莺

一般的（可能有些servlet实现不是这样的），默认的访问用户第一次 jsp 页面就会创建 session 的，因为 jsp 中指令 session 配置为 true，即
<%@ page session="true"%>

编译出来的的 java 文件在 _jspService() 方法中有代码行（Tomcat是这样的）

session = pageContext.getSession();

除非你显示设置
<%@ page session="false"%>
才会让你自己 getSession(true)或 getSession()时创建session

其实创建一个 session 并不耗什么资源，无非就是一个空的map，就是别往里面塞太多的东西，尤其是在集群环境下，会增加同步的负担。

Success时， 

//Struts Bean方法里session的用法   String login_name = rs.getString("true_name");   //返回和请求相关的session   HttpSession session = request.getSession();   //把truename的属性值login_name保存在session对象中   session.setAttribute("truename", login_name);

False时，

LoginFalse.loginFalse(request);  

即：调用了LoginFalse类里面的俄静态方法，当然是自己写的，最近刻意养成把所有的东西给封装的习惯，感觉不错。LoginFalse里面的代码，

public   static   void   loginFalse(HttpServletRequest request) {
     String login_false = "Your username or password is wrong!!!" ;
     HttpSession session = request.getSession();
     session.setAttribute( "loginfalse" , login_false);
}

在login.jsp的代码，

<%String loginwrong = (String) session.getAttribute( "loginfalse" );
if   (loginwrong != null ) { %>
<%=loginwrong%>
<%
//销毁session
session.removeAttribute( "loginfalse" );
}
session.removeAttribute( "truename" ); %>

 

每页需要用 <%@ include file="inc/logout.inc" %> 来显示用户的true_name以及logout功能实现。 
logout.inc代码，

<%String u = (String) session.getAttribute( "truename" );%>   <%=u%>   <% if   (u == null ) {%>   "g_login" />   <%}%>   "/login.jsp" >logout

还有LoginForm里面的not required处理就省略了。 
自我感觉这次的问题就出现在，不知道Struts里面scope定义session的话，在Bean里面不人为写session时，struts会自己给个getSession(); 
还有跟以前在JSP-JSP里面的session有点不同，就在这：

HttpSession session = request.getSession();  

session.setAttribute之前必须得注意写上这一行。