[web] Session原理 (转载)

发布时间 2023-09-09 13:15:51作者: 千千寰宇

1 Web概念:cookie / session / application

Web三大概念:cookie,session,application

1.1 Session

  • Session(会话):记录一系列状态

用户登录

用户登录后的操作

  • Session与cookie功能效果相同。Session与Cookie的区别在于Session是记录在服务端的,而Cookie是记录在客户端的。

  • 解释session:

当用户访问服务器某个网页时,服务应用程序会在服务器端的内存里开辟一块内存,这块内存就叫做session,而这个内存是跟浏览器关联在一起的。
这个浏览器指的是浏览器窗口,或是浏览器的子窗口
意思就是,只允许当前这个session对应的浏览器访问,就算是在同一个机器上新启的浏览器也是无法访问的。
而另外一个浏览器也需要记录session的话,就会再启一个属于自己的session

  • 原理:

HTTP协议是非连接性的,取完当前浏览器的内容,然后关闭浏览器后,链接就断开了,而没有任何机制去记录取出后的信息。
而当需要访问同一个网站的另外一个页面时(就好比如在第一个页面选择购买的商品后,跳转到第二个页面去进行付款)这个时候取出来的信息,就读不出来了。
所以,必须要有一种机制让页面知道原理页面的session内容。

0)为什么会有SESSION机制?

因为HTTP协议无状态的,而SESSION是用于维持用户访问状态,区分访问者的机制。

比如,在没有SESSION机制的前提下,想让服务器完成每个访问者的个性化定制是不可能是事情.
你可能会想到使用IP和UA等信息区分客户,但是在局域网通过网关连接广域网的时候就不能起作用,而且一旦涉及到登录等敏感操作的时候需要更加稳定,难以伪造的用户区分机制。这样就有了SESSION.

1)用户会话隔离:如何知道浏览器和这个服务器中的session是一一对应的呢?又如何保证不会去访问其它的session呢?

  • 原理解答:
  • 当用户访问一个页面的时候给浏览器创建一个独一无二的号码(SessionId),也给同时创建的session赋予同样的号码;
  • 这样就可在打开同一个网站的第2/3/.../n个页面时获取到第1个页面中session保留下来的对应信息

(理解:当访问第二个页面时将号码同时传递到第二个页面。找到对应的session

  • 这个号码也叫sessionID,session的ID号码,session的独一无二号码。

2)Session传递方式:Session在浏览器与服务器间的传递方式?

  • 方式1:通过cookies来实现
把session id 放在cookie里面
  为什么是使用cookies存放session id呢?
    因为cookie有临时的,也有定时的。
    临时的就是当前浏览器什么时候关掉即消失。也就是说,session本来就是当浏览器关闭即消失的,所以可以用临时的cookie存放。
    保存在cookie里的sessionID一定不会重复,因为是独一无二的。
    当允许浏览器使用cookie的时候,session就会依赖于cookies。  

当浏览器不支持cookie后,就可以通过第二种方式获取session内存中的数据资源。

  • 方式2:2种通过URL重写来实现

在客户端不支持cookie的情况下使用。为了以防万一,也可以同时使用。
如果不支持cookie,必须自己编程使用URL重写的方式实现。
如何重写URL?通过response.encodeURL()方法

encodeURL()的两个作用
    第1个作用:转码(说明:转中文的编码,或一些其他特殊的编码。
      就好比如网页的链接中存在中文字符,就会转换成为一些百分号或者其他的符号代替。)
    第2个作用:
      URL后面加入sessionID,当不支持cookie的时候,可以使用encodeURL()方法,encodeUTL()后面跟上【sessionID】。
      这样的话,在禁用cookie的浏览器中同时也可以使用session了。

但是需要自己编程,只要链接支持,想用session就必须加上encodeURL()。
  
提示:若想程序中永远支持session,那就必须加上encodeURL(),当别人禁用了cookie,一样可以使用session。

简单的代码例子:

  • 在没有使用encodeURL()方法前的代码
out.printl("<br><a href=" + "SessionInfoServlet" + ">refresh</a>");
out.println("</BODY></HTML>");
  • 在使用encodeURL()方法后的代码
out.printl("<br><a href=" + response.encodeURL("SessionInfoServlet") + ">refresh</a>");
out.println("</BODY></HTML>");

看下图,当重写URL 的时候,每一次访问的时候都会将sessionID传过来,传过来了,就没有必要再在cookie里读了。

  • 规则:
  • 若浏览器支持cookie,则:创建session多大的时候,会被sessionID保存再cookie里。

只要允许cookie,session就不会改变,如果不允许使用cookie,每刷新一次浏览器就会换一个session(因为浏览器以为这是一个新的链接)

  • 若不支持cookie,则:必须自己编程使用URL重写的方式实现session
  • Session不像cookie一样拥有路径访问的问题,同一个application下的servlet/jsp都可以共享同一个session,前提下是同一个客户端窗口。

3)Session 常用API

  • isNew():是否是新的Session,一般在第一次访问的时候出现

  • getid():拿到session,获取ID

  • getCreationTime():当前session创建的时间

  • getLastAccessedTime():最近的一次访问这个session的时间。

  • getRrquestedSessionid: 跟随上个网页cookies或者URL传过来的session

  • isRequestedSessionIdFromCookie():是否通过Cookies传过来的

  • isRequestedSessionIdFromURL():是否通过重写URL传过来的

  • isRequestedSessionIdValid():是不是有效的sessionID

其中,下面的结果图对应上面的8个方法:

其对应的代码:

4)session的时限有效性

  • 当一个网站的第1个窗口关掉了,而没有继续接着访问第2/3/.../n个页面,就没有使用到session。那么,session会在中断程序后立刻关闭session吗?

这个时候session就需要给它保留的时间,当最近一次访问的时候开始计时,每刷新一次重写开始计时。
当隔了这么久的时间,没有访问这个session后,对不起,要关闭这个session了。
session有过期时间,session什么时候过期,要看配置,

5) session的本质:当前用户登录会话存放在服务器端上对应一块内存

  • session就是当前用户登录会话存放在服务器端上对应一块内存

内存里面能放任何东西,只要是K-V对就可以了。
session里面的key永远都是String类型

X 参考文献