HTTP协议是无状态的。每次当客户端请求访问Web服务端的一个网页时,都必须与服务器建立一个TCP连接,然后发送THTP请求,等到收到了来自服务器端的HTTP相应,本次FTP连接就被关闭。
除了使用Cookie,Web应用程序中还经常使用Session来记录客户端状态。Session是服务器端使用的一种记录客户端状态的机制,使用上比Cookie简单一些,相应的也增加了服务器的存储压力。
Session是另一种记录客户状态的机制,不同的是Cookie保存在客户端浏览器中,而Session保存在服务器上。客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上。这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。
如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么Session机制就是通过检查服务器上的“客户明细表”来确认客户身份。Session相当于程序在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了。
在Web开发领域,会话机制是用于跟踪客户状态的普遍解决方案。
会话是指在一段时间内,单个客户与Web应用的一连串相关的交互过程。
在一个会话中,客户可能会多次请求访问Web应用的同一个网页,也有可能请求访问同一个Web应用中的多个网页。
虽然Session保存在服务器,对客户端是透明的,它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的,Session不能依据HTTP连接来判断是否为同一客户,因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie,它的值为该Session的id(也就是HttpSession.getId()的返回值)。Session依据该Cookie来识别是否为同一用户。该Cookie为服务器自动生成的,它的maxAge属性一般为–1,表示仅当前浏览器内有效,并且各浏览器窗口间不共享,关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时,会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口(也就是说不是双击桌面浏览器图标等打开的窗口)除外。这类子窗口会共享父窗口的Cookie,因此会共享一个Session。注意:新开的浏览器窗口会生成新的Session,但子窗口除外。子窗口会共用父窗口的Session。例如,在链接上右击,在弹出的快捷菜单中选择“在新窗口中打开”时,子窗口便可以访问父窗口的Session。
如果客户端浏览器将Cookie功能禁用,或者不支持Cookie怎么办?例如,绝大多数的手机浏览器都不支持Cookie。Java Web提供了另一种解决方案:URL地址重写。
Servlet规范制定了基于Java的Session的具体运作机制。
在Servlet API中定义了代表Session的接口:
javax.servlet.http public interface HttpSession
Servlet容器必须实现这一接口。
当一个Session开始时,Servlet容器将创建一个HttpSession对象,在该对象中可以存放表示客户状态的信息。
Servlet容器为每个HttpSession对象分配一个唯一的标识符,称为Session ID.
例如:
在默认情况下,JSP 网页都是支持Session的。
也可以通过显式声明会支持Session:
<%@ page session="true" %>
如果一个Web组件支持Session,就意味着:
JSP文件在默认情况下都支持Session,而HttpServlet类在默认情况下不支持Session,这是JSP与Servlet的一个小小的区别。
当Servlet容器调用HttpServlet类的服务方法时,会传递一个HttpSevletRequest类型的参数,HttpServlet可通过HttpServletRequest对象来获得HttpSession对象。
在HttpServletResponse接口中提供了两个与Session有关的方法:
sessiontest.jsp
<%@ page language="java" contentType="text/html; charset=utf-8" pageEncoding="utf-8"%> <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd"> <html> <head> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <title>Session Test</title> </head> <body> <% Cookie[] cookies = request.getCookies(); if (cookies == null){ out.println("no cookie"); return; } for (int i = 0; i < cookies.length; i++){ %> <p> <b>Cookie name:</b> <%= cookies[i].getName() %> <b>Cookie value:</b> <%= cookies[i].getValue() %> </p> <p> <b>max age in seconds:</b> <%= cookies[i].getMaxAge() %> </p> <% } %> </body> </html>
访问如下URL:
http://localhost:8080/base-webapp/jsp/session/sessiontest.jsp
- 打开一个浏览器,第一次请求访问,页面: no cookie
- 打开一个新的浏览器进程,访问,页面:
- Session ID的Cookie有效期为-1;这意味着该Cookie仅存在于当前浏览器进程中,当浏览器进程关闭,Cookie也就消失,本次Sessio结束。