Java Web 状态管理(下) Session基础

Session 基础

  • session是什么
  • session的作用(也就第一个比较说人话点)
  • session的实现原理
  • 注意
  • 从而得之
  • session原理的小demo
  • 总结

session是什么

session是一种储存在服务端的对象,里面的内容通常也是以键值对(key-value)的形式存在。

session的作用(也就第一个比较说人话点)

用户身份验证和管理:
Session在用户登录后可以保存用户的身份信息,标识用户的身份,以便后续的请求可以识别用户并进行相应的权限控制。通过Session,服务端可以判断用户是否已经登录,并根据用户的身份做出不同的处理。

数据共享:
Session保存在服务端,可以跨请求共享数据。当用户发送一个请求到服务器时,服务器可以根据Session的标识找到对应的Session,获取Session中存储的数据为用户服务。

提高数据处理的效率:
当需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的Session中。当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据为用户服务。

session的实现原理

session通常是依赖cookie为基础进行实现的,听说也能以URL重写去实现,但我没有具体了解过

当用户首次访问Web应用时,Web应用会在服务器里存储一个session对象,并自动生成一个唯一的Session ID,并将这个Session ID以Cookie的形式返回给浏览器。浏览器会将这个Cookie保存起来。

Java Web 状态管理(下) Session基础_第1张图片

当用户再次访问Web应用中的页面时,浏览器会自动将存储的Cookie发送给服务器。服务器接收到请求后,通过反序列化Session ID来查找对应的Session对象。

服务器数量远远小于客户端数量,一个服务器往往需要存储一大批的session对象,session ID的出现是让服务器能够轻松地找到对应客户端的session ID

Java Web 状态管理(下) Session基础_第2张图片

如果找到了对应的Session,服务器端就可以根据Session中保存的数据来处理请求。如果没有找到对应的Session(session ID过期失效,或者服务器崩溃重启等特殊情况),服务器端可能会创建新的Session。

Java Web 状态管理(下) Session基础_第3张图片

当Session中的数据发生变化时,服务器端会将这些数据持久化,确保用户刷新页面或打开新窗口时数据不会丢失。

注意

当用户关闭浏览器时,Session或者Session ID并不会立即被销毁。实际上,Session的销毁取决于配置的Session超时(过期)时间。如果用户在一段时间内没有活动,Session会被标记为非活动状态,等待超时时间结束后,Session才会被销毁。因此,关闭浏览器并不一定意味着会话结束,而是取决于配置的Session超时时间。

从而得之

会话控制中的会话是指客户端和服务端的一系列交互和信息传递,那么会话结束到底是什么时候也与服务端的设置有关,假如服务端设置过期时间为30分钟,那么客户端和服务端在30分钟内无交互,这个会话也结束了,那假如设置过期时间为3天,那么即使客户端一天都没去该网站访问,但会话还是没有结束。

session原理的小demo

测试主要代码

访问后并不会与任何前端界面联动,只是单纯地生成一个session,并打印里面的信息

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;

@WebServlet("/session_demo")
public class SessionDemo extends HttpServlet{
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // 获取当前会话对象
        HttpSession session = req.getSession();
        // 设置Session的过期时间为1小时
        session.setMaxInactiveInterval(60*60);
        //如果一个小时,该客户端没有与服务器进行任何交互,那么服务器会自动删除该session对象

        // 向会话中添加属性
        session.setAttribute("username", "tony");
        session.setAttribute("password", 8888);

        // 从会话中获取属性
        String username = (String) session.getAttribute("username");
        int password = (Integer) session.getAttribute("password");
        System.out.println("用户名和密码是:");
        System.out.println(username+password);

    }

    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        super.doPost(req, resp);
    }
}

然后我们进入浏览器抓包查看

首次访问的set-cookie形式,将sessionID存储在浏览器中

Java Web 状态管理(下) Session基础_第4张图片

第二次访问该界面时,则是请求头嵌入该cookie在服务器里找对应的session对象

Java Web 状态管理(下) Session基础_第5张图片

总结

Cookie和session已经算一个比较偏底层的基础知识了,之后我可能更多用的还是JWT吧,当然这也取决于具体的应用场景,我们可以适当了解一下它们的缺点,主要是安全性和服务器负载程度的区别。

Cookie:
Cookie通常用于存储用户信息,如登录状态、购物车信息等。由于Cookie存储在客户端浏览器中,因此它可以跨多个请求持久化用户数据。然而,由于Cookie的存储容量有限,并且容易受到跨站脚本攻击(XSS)的影响,因此在使用Cookie时需要谨慎处理。

Session:
Session也是一种常用的会话管理技术,它通过在服务器端存储用户信息来跟踪用户的活动状态。Session通常用于处理用户登录、表单提交等场景。由于Session将数据存储在服务器端,因此可以存储大量数据,并且能够保证数据的机密性和安全性。然而,Session需要服务器端进行额外的存储和管理,因此在处理大量请求时可能会增加服务器的负载。

JWT:
JWT(JSON Web Token)是一种基于Token的认证机制,它常用于API之间的安全通信。JWT可以用于在客户端和服务器之间传递用户身份验证信息和其他数据。由于JWT是基于Token的认证机制,因此它可以跨多个请求传递用户数据,并且能够实现跨域认证。此外,JWT具有较好的安全性,因为它可以包含加密签名以验证数据的完整性和真实性。然而,JWT需要额外的服务器端存储和验证逻辑,因此在处理大量请求时可能会增加服务器的负载。

你可能感兴趣的:(java,学习,笔记,开发语言,web,基础知识,状态管理)