本文详细介绍了HTTPSession接口在Servlet/JSP容器中的工作原理,包括会话标识符的生成与使用、超时机制、会话跟踪及如何处理不支持Cookie的情况,并提供了一个简单的伪会话管理实现。
httpsession接口提供了存储和返回标准会话属性的方法。标准会话属性如会话标识符、应用数据等,都以“名字-值”对的形式保存。简而言之,httpsession接口提供了一种把对象保存到内存、在同一用户的后继请求中提取这些对象的标准办法。在会话中保存数据的方法是setattribute(string s, object o),从会话提取原来所保存对象的方法是getattribute(string s)。
为此,servlet采用“超时限制”的办法来判断用户是否还在访问:如果某个用户在一定的时间之内没有发出后继请求,则该用户的会话被作废,他的httpsession对象被释放。会话的默认超时间隔由servlet容器定义。这个值可以通过getmaxinactiveinterval方法获得,通过setmaxinactiveinterval方法修改,这些方法中的超时时间以秒计。如果会话的超时时间值设置成-1,则会话永不超时。servlet可以通过getlastaccessedtime方法获得当前请求之前的最后一次访问时间。
会话跟踪依赖于cookie。由于各种原因,特别是安全上的原因,一些用户关闭了cookie。
要深入理解会话跟踪机制,首先我们必须理解在servlet/jsp容器中会话如何运作。
每当新用户请求一个使用了httpsession对象的jsp页面,jsp容器除了发回应答页面之外,它还要向浏览器发送一个特殊的数字。这个特殊的数字称为“会话标识符”,它是一个唯一的用户标识符。此后,httpsession对象就驻留在内存之中,等待同一用户返回时再次调用它的方法。
会话标识符以cookie的形式在服务器和浏览器之间传送。如果浏览器不支持cookie又如何呢?此时,对服务器的后继请求将不会带有会话标识符。结果,jsp容器认为该请求来自一个新用户,它会再创建一个httpsession对象,而以前创建的httpsession对象仍旧驻留在内存中,但该用户以前的会话信息却丢失了。
对象和数据不是保存在内存中,而是以文本文件形式保存。每一个文本文件与一个特定的用户关联,文件的名字就是会话的标识符。因此,文件名字必须是唯一的。
它应该与应用无关,其他想要实现同样功能的开发者应该能够方便地重用它。
为了作废过期的会话,应该设定一个超时值。同一个用户,如果他超过一定的时间之后再次返回,他将获得一个新的会话标识符。此举能够防止未经授权的用户冒用其他人的会话。
同时,应该存在一种更新会话文本文件最后改动时间的机制,使得用户在会话过期时限之前返回时会话总是保持最新且合法的状态数据。
下面所介绍的工程称为pseudosession,它是伪会话机制一个很简单的实现。考虑到移植性,我们以javabean的形式实现它。pseudosessionbean的完整代码可以从本文后面下载。
timeout是用户的最后一个请求到会话过期作废之间的时间。在pseudosessionbean的代码清单中,timeout设置成了以毫秒表示的20分钟,这是一个比较合理的超时时间值。对于任何用户,如果他在这个超时时间之后才继续发出请求,他将得到一个新的会话标识符。
如果用户是第一次访问,则为该用户设定一个新的会话标识符。
把合法会话标识符所对应文本文件的最后修改日期改为now。
综上所述,getsessionid并不总是返回新的合法会话标识符:它返回的标识符可能与传递给它的标识符相同,也可能是新创建的会话标识符。
setvalue方法按如下规则保存名字-值对:
如果与value值关联的name以前还没有保存过,则新的名字-值对加入到文本文件的末尾。
setvalue方法按照如下格式保存名字-值对,注意“名字”是大小写敏感的:
4.4 deleteallinvalidsessions方法
deleteallinvalidsessions方法删除那些与已经过期的会话关联的文本文件。由于调用getsessionid方法时过期的会话文本文件会被删除,deleteallinvalidsessions方法并不是关键的方法。什么时候调用这个方法由应用自己决定。例如,我们可以编写一个专用的后台程序,由这个程序每天一次清除所有过期的文本文件。最简单的办法是在jsp文件末尾调用deleteallinvalidsessions方法,但如果网站比较繁忙,重复地调用deleteallinvalidsessions方法将降低整个网站的响应能力。一种明智的做法是:编写一个在访问量较少的时候自动进行清理的后台程序。
public void deleteallinvalidsessions()
它首先把所有会话文本文件的名字读入files字符串数组:
file dir = new file(path); string[] files = dir.list();
deleteallinvalidsessions方法比较文本文件的最后修改时间(加上超时时间)和系统当前时间,确定会话是否过期。long类型的变量now用于保存系统的当前时间。
long now = system.currenttimemillis();
接下来,deleteallinvalidsessions方法通过循环访问files数组,依次检查每个文件的lastmodified属性。所有与过期会话关联的文件都将被删除:
for (int i=0; i< files.length; i++) { file f = new file(path + files[i]); if (f.lastmodified() + timeout > now) f.delete(); // 删除过期的会话文本文件}
编译好pseudosessionbean这个javabean之后,我们就可以利用伪会话管理机制来管理web应用的会话状态信息了。由于不必再使用服务器的会话管理机制,我们可以在page指令中把session属性设置为false关闭默认的jsp/servlet会话管理功能。
< %@ page session="false" %>
在上面这个< jsp:usebean>标记中,class属性值是“包.类名字”形式。当然,对于不同的包名字,class属性的值应该作相应的修改。注意bean的scope属性是“application”,这是因为我们要在应用的所有页面中使用这个bean。在这个应用中,把bean的scope属性设置为“application”具有最好的效率,因为我们只需创建bean对象一次就可以了。另外,正如前面所提到的,getsessionid方法必须在所有其他代码之前调用。
扫一扫
4439
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
