Javaweb-会话管理HttpSession
一、HttpSession原理
1.1 HttpSession API介绍
HttpSession是一个接口,用来认证一个跨越多个页面请求服务器内容的用户(使用SessionID)或者是访问一个网页然后存储关于用户的信息(HttpSession存储用户信息,如:username和password)。
Servlet容器使用HttpSession接口为HTTP客户和HTTP服务器之间创建一个Session。当一个用户跨越多个连接或者是页面请求时,这个Session会在一定时间内有效(可以设置)。一个Session通常对应一个用户,这个用户可能会访问网页多次(在Session有效的这段是时间内,一个用户多次请求一个页面,也只代表一个会话)。服务器可以维持一个session通过多种方式,例如:使用Cookie或者是通过重写URL的方式
当一个应用存储一个对象到session中,或者是从session中删除一个对象,session会检查这个对象是否implements HttpsessionBingdingListener这个接口。如果是,那么servlet就会通知对象已经被绑定到Session中或者是从Session中松绑。当绑定的方法完成时,通知才会到达。对于那些无效的Session或者是有效期用完的Session,在Session无效以后会被送达。
一个Servlet应当能够处理客户选择不适用Cookie的方式(如禁用Cookie的方式)来创建Session。一旦客户和服务器创建了一个Cookie,那么isNew方法会返回true。如果客户机选择不使用Session,那么每次我们用request.getSession就都会返回一个不同的Session,同时isNew方法每次都是返回true。
1.2 使用Session会话建立过程
- 1)浏览器第一次请求网站, 服务端生成 Session ID。
- 2)把生成的 Session ID 保存到服务端存储中。
- 3)把生成的 Session ID 返回给浏览器,通过 set-cookie。
- 4)浏览器收到 Session ID, 在下一次发送请求时就会带上这个 Session ID。
- 5)服务端收到浏览器发来的 Session ID,从 Session 存储中找到用户状态数据,会话建立。
- 6) 此后的请求都会交换这个 Session ID,进行有状态的会话。
二、HttpSession方法
主要方法
getAttribute(String name)//根据属性名获取属性值
setAttribute(String name,Object object)//设置属性名和属性值
getId()//获取Session ID
getMaxInactiveInterval()//获取会话存活的最长时间间隔
setMaxInactiveInterval()//设置会话存活的最长时间间隔
isNew()//判断一个Session是否是新创建的,如果客户端浏览器不支持Cookie,那么每次都会返回true示例
在浏览器中输入http://localhost:8088/sessionI;服务器使用HttpSessionServletI处理请求
package httpsession;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet("/sessionI")
public class HttpSessionServletI extends HttpServlet {
@Override
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request,response);
}
@Override
public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession();
session.setMaxInactiveInterval(60*5);
PrintWriter writer = response.getWriter();
writer.println("");
writer.println("");
writer.println(""</span>)<span class="hljs-comment">;</span>
writer<span class="hljs-preprocessor">.println</span>(<span class="hljs-string">"Session Information"</span>)<span class="hljs-comment">;</span>
writer<span class="hljs-preprocessor">.println</span>(<span class="hljs-string">" ");
writer.println("");
writer.println("");
writer.println(""
);
writer.println("Session Method");
writer.println("");
writer.println("Session Id : "+session.getId()+"
");
writer.println("Session CreationTime : "+session.getCreationTime()+"
");
writer.println("Session Is New ? : "+session.isNew()+"
");
writer.println("Session MaxInactiveInterval : "+session.getMaxInactiveInterval()+"
");
writer.println("");
writer.println("");
}
}显示结果如下:
如果我们禁用Cookie,会发生什么情况呢
我们每次刷新页面,都会返回一个新的SessionID,而且isNew方法返回true
三、实验
实现一个客户登录,并将客户的username保存在session当中。客户注销的时候调用session的invalidate方法使session无效。
第一步:在浏览器中输入 http://localhost:8088/session_login.html
<html lang="en">
<head>
<meta charset="UTF-8">
<title>Login Pagetitle>
head>
<body>
<form action="/session_login" method="post">
Name:<br>
<input type="text" name="name"/><br>
Password:<br>
<input type="password" name="password"><br>
<input type="submit" name="submit"/>
form>
body>
html>进入如下界面在Name和Password中分别输入信息,点击提交
第二步:浏览器的URL变成 http://localhost:8088/session_login ;服务器根据session_login找到对应的Servlet来处理请求
package httpsession;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
@WebServlet("/session_login")
public class SessionLoginServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
doPost(request,response);
}
public void doPost(HttpServletRequest request, HttpServletResponse response) throws IOException, ServletException {
String username = request.getParameter("name");
String password = request.getParameter("password");
if("markliwei".equals(username)&&"make".equals(password)){
HttpSession session = request.getSession();
session.setMaxInactiveInterval(5*60);
session.setAttribute("login",username);
request.getRequestDispatcher("/WEB-INF/session_login_success.jsp").forward(request,response);
}else{
response.sendRedirect("login.html");
}
}
}session_login_success.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Login Successtitle>
head>
<body>
<h3>Welcome to TaoTao.comh3>
${login}<br>
<a href="/session_logout">注销a><br>
body>
html>
上面的SessionLoginServlet处理请求,每次当username 和 password和我们的匹配时,Session会保存username信息,同时session设置一个最大超时时间为5分钟(默认是30分钟)然后转发。如果登录信息和我们后台的信息不匹配,那么重新登录;结果显示如下:
我们发现上面的URL并没有发生变化,这是因为我们使用的是转发操作,而不是重定向操作
第三步:点击”注销”,地址栏发生变化为 http://localhost:8088/session_logout;服务器根据”/session_logout”找到对应的Servlet进行处理
SessionLogoutServlet.java
package httpsession;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
@WebServlet("/session_logout")
public class SessionLogoutServlet extends HttpServlet {
@Override
public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request,response);
}
@Override
public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=UTF-8");
HttpSession session = request.getSession();
String username = (String) session.getAttribute("login");
session.invalidate();
request.setAttribute("username",username);
request.getRequestDispatcher("/WEB-INF/session_logout.jsp").forward(request,response);
}
}
首先从session中获取login属性值,然后调用invalidate()使得session无效。
session_logout.jsp
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
<title>Titletitle>
head>
<body>
${username} Logout Success!
body>
html>
浏览器显示结果
使用encodeURL()实现会话管理
encodeURL()方法介绍
encodeURL()是通过将session ID包含在具体的URL当中。如果URL不需要编码,那么URL不会发生变化。这个方法的实际操作逻辑就是session ID是否需要包含在URL当中,例如当我们的浏览器支持cookies或者session tracking被关掉时,此时就不需要encodeURL。如果客户端浏览器不支持Cookie,那么endcodeURL()就会将sessionID添加在之前的URL中。
实验
假设我们要实现一个会话计数功能,使用count这个变量进行,计数,同时我们将count这个变量作为一个属性写入到session当中。我们需要考虑如果我们的浏览器不支持Cookie时,我们应该怎么办?使用HttpServletResponse中的encodeURL()方法将我们的SessionID添加在URL后面,这样即使浏览器不支持Cookie,我们的请求URL每次都会携带SessionID,这样就确保了一个客户端一个SessionID。
在浏览器中输入http://localhost:8088/counter 这个请求就会由SessionRewriteURLServlet进行处理
SessionRewriteURLServlet.java
package httpsession;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet("/counter")
public class SessionRewriteURLServlet extends HttpServlet {
@Override
public void doGet(HttpServletRequest request, HttpServletResponse response) throws IOException {
response.setContentType("text/html;charset=UTF-8");
PrintWriter out = response.getWriter();
int count = 0;
HttpSession session = request.getSession();
if(session.getAttribute("count")!=null){
Integer c = (Integer) session.getAttribute("count");
count = c + 1;
}
session.setAttribute("count",count);
out.println("");
out.println(""</span>)<span class="hljs-comment">;</span>
<span class="hljs-keyword">out</span><span class="hljs-preprocessor">.println</span>(<span class="hljs-string">"EncondURL Page"</span>)<span class="hljs-comment">;</span>
<span class="hljs-keyword">out</span><span class="hljs-preprocessor">.println</span>(<span class="hljs-string">" ");
out.println("");
out.println("Servlet Count : "
+ count+"");
out.println("递增");
out.println("");
out.println("");
out.close();
}
}得到的响应结果图
当浏览器支持Cookie时,我们点击”递增按钮”,我们看浏览器地址栏效果
我们发现当浏览器支持Cookie时,encodeURL并没有将sessionID添加在我们URL后面
我们把浏览器的Cookie禁用以后,可以看一下效果图
从上面的图中我们可以看到counter后面跟一个sessionID。
总结
Cookie、HttpSession、encodingURL三种方式实现会话方式的区别
参考
《JSP&Servlet学习笔记》-林信良
https://swiftcafe.io/2017/05/30/about-session/