Session會(huì)話簡(jiǎn)介
會(huì)話是指在一段時(shí)間內(nèi),用戶使用同一個(gè)瀏覽器進(jìn)程與Web應(yīng)用之間的交互過(guò)程。
會(huì)話(Session)通常用來(lái)跟蹤用戶的狀態(tài),緩存用戶在此瀏覽器進(jìn)程中的信息。
當(dāng)用戶關(guān)閉瀏覽器,上一個(gè)Session也就無(wú)法再次獲得了(Cookie的maxAge為-1的情況)。再次打開新的瀏覽器,將開始一個(gè)新的會(huì)話。
類javax.servlet.http.HttpSession。每一個(gè)HttpSession代表用戶的一個(gè)會(huì)話。
每一個(gè)Session的過(guò)期時(shí)間默認(rèn)為30分鐘。
當(dāng)瀏覽器第一次訪問服務(wù)器時(shí),無(wú)論先訪問哪一個(gè)頁(yè)面,服務(wù)器就會(huì)給用戶分配一個(gè)唯一的會(huì)話標(biāo)識(shí),即jsessionid然后以cookie的形式返回給用戶。
下圖是一個(gè)響應(yīng)頭(下圖是基于Servlet3.0的,在Servlet2.5中沒有HttpOnly屬性)
服務(wù)器給每個(gè)用戶創(chuàng)建一個(gè)會(huì)話,即HttpSession對(duì)象,保存在服務(wù)器端。
那么,當(dāng)用戶再次訪問服務(wù)器時(shí),服務(wù)器是如何知道還是當(dāng)前用戶呢?
當(dāng)瀏覽器再次訪問服務(wù)器時(shí),會(huì)攜帶包含了jsessionid的cookie訪問服務(wù)器。服務(wù)器根據(jù)此id返回此用戶的HttpSession對(duì)象,就保持了會(huì)話。
( 那么,是否可以在不同的瀏覽器上實(shí)現(xiàn)同一個(gè)同一個(gè)會(huì)話呢?
下面是一個(gè)典型的URL,它帶有一定的欺騙作用,可以在不同的瀏覽器上實(shí)現(xiàn)同一個(gè)會(huì)話:
http://localhost:8080/day07_2/CNCookieServlet;jsessionid=F8692D61CD46D094DBB7A8FC7387649C )
瀏覽器和服務(wù)器的關(guān)系如下兩圖:
HttpSession:
在Servlet中,通過(guò)HttpServletRequest.getSession方法獲取會(huì)話對(duì)像。
HttpSession接口的以下方法用于向會(huì)話范圍內(nèi)共享數(shù)據(jù):
getAttribute(“name”)setAttribute(“name”,object);getAttributeNames()removeAttrubute(“name”)
Invalidate(); - 此方法強(qiáng)力刪除服務(wù)器緩存的session.
示例:
在一個(gè)Servlet的向httpSession中setAttribute設(shè)置某些值。
通過(guò)超連接,或其他方式轉(zhuǎn)到其他servlet并通過(guò)getAttribute顯示信息。
在任意Servlet中調(diào)用getAttribute顯示信息。
關(guān)閉此瀏覽器,重新訪問獲取信息的servlet,你會(huì)發(fā)現(xiàn)已經(jīng)沒有信息了。
如下:
String name=request.getParameter("name"); request.setAttribute("name", "request---"+name); request.getSession().setAttribute("name", "session---"+name); getServletContext().setAttribute("name", "application---"+name); Session的唯一標(biāo)識(shí)Id:
每一個(gè)Session都一個(gè)唯一標(biāo)識(shí),即ID。
當(dāng)瀏覽器獲取一個(gè)新的Session時(shí),用戶即可以通過(guò)session.geId();打印出ID的值 。
在不關(guān)閉瀏覽器的情況下,在多個(gè)頁(yè)面上跳轉(zhuǎn),使用的是同一個(gè)Session。
如:
request.getSession().getId()
何為安全退出:
用戶退出時(shí),應(yīng)該當(dāng)將自己的信息從Session中清除-即安全退出。
安全退出是為了將自己在服務(wù)器上留下的信息清除干凈,以防被黑
Session.invalidate();
1、request.getSession().invalidate();
如此可將session池中的相對(duì)應(yīng)的對(duì)象刪除
2、Session.removeAttribute(…)
如:
request.getSession().removeAttribute("realCode");
用于刪除session對(duì)象中的屬性
通過(guò)重寫URL來(lái)跟蹤會(huì)話:
前面已經(jīng)說(shuō)過(guò),Servlet容器先在客戶端保存一個(gè)SessionID,以后,在瀏覽器發(fā)出HTTP請(qǐng)求時(shí),都會(huì)包含這個(gè)SessionID.Servlet容器讀取HTTP請(qǐng)求中的這個(gè)SessionID,根據(jù)這個(gè)SessionID從容器中取出HttpSession對(duì)像,以便于跟蹤HTTP請(qǐng)求屬于哪一個(gè)會(huì)話,這一過(guò)程稱為會(huì)話的跟蹤。
如果瀏覽器支持Cookie,Servlet容器就將SessionID作為Cookie保存在瀏覽器的客戶端。但如果出于安全的考慮,用戶禁用了Cookie,那么Servlet容器又如何來(lái)跟蹤會(huì)話呢?
首先讓我們?cè)贗E中禁用Cookie(注意:對(duì)于某些GHOST的系統(tǒng)不起作用)。
IE>工具>Internet選項(xiàng)>隱私>高級(jí),然后禁用Cookie:
我們可以在主頁(yè)加上這樣的超鏈接:(與下面代碼中相關(guān)的SaveServlet.java GetServlet.java LogoutServlet.java的代碼我放在最后面貼)
<h2>演示重寫url技術(shù)---破解用戶禁用cookie之后,我們session無(wú)效的問題</h2> <form action="<%=response.encodeURL("saveServlet") %>" method="post"> name:<input type="text" name="name"/><br/> <input type="submit"/> </form> <a href="<%=response.encodeURL("getServlet") %>">重寫url-讀取幾個(gè)容器中的數(shù)據(jù)</a><br/> <a href="<%=response.encodeURL("logoutServlet") %>">重寫url-安全退出</a> 這句<form action=“<%=response.encodeURL(“/aa”)%>”>就可以實(shí)現(xiàn)這一功能
在這里禁用了cookie以后,瀏覽器仍然能夠接收到服務(wù)器發(fā)送過(guò)來(lái)的cookie,但是瀏覽器只能接受不能發(fā)送出去給服務(wù)器,不能發(fā)送cookie的話也就不能夠去session池中去取相應(yīng)的對(duì)象了。
上面的代碼在表單里面輸入想要的值之后,再到下面的getServlet這里的超鏈接處訪問看是不是仍然能夠顯示出輸入的值,答案是肯定的。這里的訪問路徑就相當(dāng)于類似
http://localhost:8080/day07_2/CNCookieServlet;jsessionid=F8692D61CD46D094DBB7A8FC7387649C 的,后面帶的jsessionid=F8692D61CD46D094DBB7A8FC7387649C就是其id,如此,你到另一個(gè)瀏覽器中去輸入這個(gè)網(wǎng)址也能夠訪問的到。
這里我要補(bǔ)充一下:(以下情況是在我將session池中HttpSession對(duì)象將對(duì)應(yīng)session的JSESSIONID值和value值寫入cookie中,這個(gè)cookie會(huì)覆蓋系統(tǒng)造的那個(gè),就相當(dāng)于是我自己造的,我將存在時(shí)間設(shè)置成了十分鐘,如果不覆蓋的話,cookie在瀏覽器關(guān)閉時(shí)就會(huì)消亡,下面的現(xiàn)象也就不會(huì)出現(xiàn)了)
在是否禁用了cookie這兩種情況下在session池中新建的對(duì)象的id是不一樣的,即假如你在禁用了cookie時(shí)在表單中輸入了一個(gè)name的值,查詢結(jié)果如下:
并且jsessionid為2BB51EBDEAAF14D19656C71E1B6F9FF6
然后馬上換成不禁用cookie模式,輸入另一個(gè)名字如Tom,查詢結(jié)果自然會(huì)是兩個(gè)Tom,jsessionid為
203F9E4DB5D874476B81DAF350661B6A,與禁用是不一樣,這就使出現(xiàn)下面的結(jié)果了
然后此時(shí)我們將瀏覽器關(guān)閉,再次進(jìn)入瀏覽器,在不禁用cookie模式下查看訪問結(jié)果,如下:
下面我將主要的代碼貼上來(lái):
SaveServlet.java
package cn.hncu.servlets.session; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.Cookie; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class SaveServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { doPost(request, response); } public void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); request.setCharacterEncoding("utf-8"); String name=request.getParameter("name"); request.setAttribute("name", "request---"+name); request.getSession().setAttribute("name", "session---"+name); getServletContext().setAttribute("name", "application---"+name); //把cookie技術(shù)和session技術(shù)聯(lián)合起來(lái)做應(yīng)用的一個(gè)例子---※功能:讓用戶在關(guān)閉瀏覽器之后,如果10分鐘之內(nèi)能夠登錄本站,還能訪問到session中的信息 //向客戶端寫一個(gè)key為"JSESSIONID"用value為sessionid的cookie, Cookie c=new Cookie("JSESSIONID", request.getSession().getId()); c.setMaxAge(60*10);//上面的現(xiàn)象就是這一句造成的,沒有這一句的話就不會(huì)有上面說(shuō)的現(xiàn)象了 c.setPath(request.getContextPath()); response.addCookie(c); out.println("保存成功..."); out.flush(); out.close(); } }GetServlet.java
package cn.hncu.servlets.session; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class GetServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); out.println("<!DOCTYPE HTML PUBLIC /"-//W3C//DTD HTML 4.01 Transitional//EN/">"); out.println("<HTML>"); out.println(" <HEAD><TITLE>A Servlet</TITLE></HEAD>"); out.println(" <BODY>"); String reqName=(String) request.getAttribute("name"); String seName=(String) request.getSession().getAttribute("name"); String appName=(String) getServletContext().getAttribute("name"); out.println(reqName+"<br/>"); out.println(seName+"<br/>"); out.println(appName+"<br/>"); out.println(" </BODY>"); out.println("</HTML>"); out.flush(); out.close(); } }LogoutServlet.java
package cn.hncu.servlets.session; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; public class LogoutServlet extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html;charset=utf-8"); PrintWriter out = response.getWriter(); //安全退出---只要讓session對(duì)象無(wú)效就可以了 request.getSession().invalidate(); out.println("已安全退出..."); } } 以上所述是小編給大家介紹的JavaWeb Session 會(huì)話管理,希望對(duì)大家有所幫助,如果大家有任何疑問歡迎給我留言,小編會(huì)及時(shí)回復(fù)大家的!
新聞熱點(diǎn)
疑難解答
圖片精選
