1 Web概念:cookie / session / application
Web三大概念:cookie,session,application
1.1 Session
- Session(会话):记录一系列状态
用户登录
用户登录后的操作
-
Session与cookie功能效果相同。Session与Cookie的区别在于Session是记录在服务端的,而Cookie是记录在客户端的。
-
解释session:
当用户访问服务器某个网页时,服务应用程序会在服务器端的内存里开辟一块内存,这块内存就叫做session,而这个内存是跟浏览器关联在一起的。
这个浏览器指的是浏览器窗口,或是浏览器的子窗口
意思就是,只允许当前这个session对应的浏览器访问,就算是在同一个机器上新启的浏览器也是无法访问的。
而另外一个浏览器也需要记录session的话,就会再启一个属于自己的session
- 原理:
HTTP协议是非连接性的,取完当前浏览器的内容,然后关闭浏览器后,链接就断开了,而没有任何机制去记录取出后的信息。
而当需要访问同一个网站的另外一个页面时(就好比如在第一个页面选择购买的商品后,跳转到第二个页面去进行付款)这个时候取出来的信息,就读不出来了。
所以,必须要有一种机制让页面知道原理页面的session内容。
0)为什么会有SESSION机制?
因为HTTP协议是无状态的,而SESSION是用于维持用户访问状态,区分访问者的机制。
比如,在没有SESSION机制的前提下,想让服务器完成每个访问者的个性化定制是不可能是事情.
你可能会想到使用IP和UA等信息区分客户,但是在局域网通过网关连接广域网的时候就不能起作用,而且一旦涉及到登录等敏感操作的时候需要更加稳定,难以伪造的用户区分机制。这样就有了SESSION.
1)用户会话隔离:如何知道浏览器和这个服务器中的session是一一对应的呢?又如何保证不会去访问其它的session呢?
- 原理解答:
- 当用户访问一个页面的时候给浏览器创建一个独一无二的号码(
SessionId
),也给同时创建的session赋予同样的号码;- 这样就可在打开同一个网站的第2/3/.../n个页面时获取到第1个页面中session保留下来的对应信息
(理解:当访问第二个页面时将号码同时传递到第二个页面。找到对应的session
- 这个号码也叫
sessionID
,session的ID号码,session的独一无二号码。
2)Session传递方式:Session在浏览器与服务器间的传递方式?
- 方式1:通过cookies来实现
把session id 放在cookie里面
为什么是使用cookies存放session id呢?
因为cookie有临时的,也有定时的。
临时的就是当前浏览器什么时候关掉即消失。也就是说,session本来就是当浏览器关闭即消失的,所以可以用临时的cookie存放。
保存在cookie里的sessionID一定不会重复,因为是独一无二的。
当允许浏览器使用cookie的时候,session就会依赖于cookies。
当浏览器不支持cookie后,就可以通过第二种方式获取session内存中的数据资源。
- 方式2:2种通过URL重写来实现
在客户端不支持cookie的情况下使用。为了以防万一,也可以同时使用。
如果不支持cookie,必须自己编程使用URL重写的方式实现。
如何重写URL?通过response.encodeURL()方法
encodeURL()的两个作用
第1个作用:转码(说明:转中文的编码,或一些其他特殊的编码。
就好比如网页的链接中存在中文字符,就会转换成为一些百分号或者其他的符号代替。)
第2个作用:
URL后面加入sessionID,当不支持cookie的时候,可以使用encodeURL()方法,encodeUTL()后面跟上【sessionID】。
这样的话,在禁用cookie的浏览器中同时也可以使用session了。
但是需要自己编程,只要链接支持,想用session就必须加上encodeURL()。
提示:若想程序中永远支持session,那就必须加上encodeURL(),当别人禁用了cookie,一样可以使用session。
简单的代码例子:
- 在没有使用encodeURL()方法前的代码
out.printl("<br><a href=" + "SessionInfoServlet" + ">refresh</a>");
out.println("</BODY></HTML>");
- 在使用encodeURL()方法后的代码
out.printl("<br><a href=" + response.encodeURL("SessionInfoServlet") + ">refresh</a>");
out.println("</BODY></HTML>");
看下图,当重写URL 的时候,每一次访问的时候都会将sessionID传过来,传过来了,就没有必要再在cookie里读了。
- 规则:
- 若浏览器支持cookie,则:创建session多大的时候,会被sessionID保存再cookie里。
只要允许cookie,session就不会改变,如果不允许使用cookie,每刷新一次浏览器就会换一个session(因为浏览器以为这是一个新的链接)
- 若不支持cookie,则:必须自己编程使用URL重写的方式实现session
- Session不像cookie一样拥有路径访问的问题,同一个application下的servlet/jsp都可以共享同一个session,前提下是同一个客户端窗口。
3)Session 常用API
-
isNew():是否是新的Session,一般在第一次访问的时候出现
-
getid():拿到session,获取ID
-
getCreationTime():当前session创建的时间
-
getLastAccessedTime():最近的一次访问这个session的时间。
-
getRrquestedSessionid: 跟随上个网页cookies或者URL传过来的session
-
isRequestedSessionIdFromCookie():是否通过Cookies传过来的
-
isRequestedSessionIdFromURL():是否通过重写URL传过来的
-
isRequestedSessionIdValid():是不是有效的sessionID
其中,下面的结果图对应上面的8个方法:
其对应的代码:
4)session的时限有效性
- 当一个网站的第1个窗口关掉了,而没有继续接着访问第2/3/.../n个页面,就没有使用到session。那么,session会在中断程序后立刻关闭session吗?
这个时候session就需要给它保留的时间,当最近一次访问的时候开始计时,每刷新一次重写开始计时。
当隔了这么久的时间,没有访问这个session后,对不起,要关闭这个session了。
session有过期时间,session什么时候过期,要看配置,
5) session的本质:当前用户登录会话存放在服务器端上对应一块内存
- session就是当前用户登录会话存放在服务器端上对应一块内存。
内存里面能放任何东西,只要是
K-V
对就可以了。
session里面的key
永远都是String类型