会话技术-jsessionid的持久化(十九)

最新推荐文章于 2025-09-09 10:21:24 发布
原创 最新推荐文章于 2025-09-09 10:21:24 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#servlet

本文介绍了一种通过设置Cookie的生存时间来确保Session信息在浏览器重启后仍可获取的方法。通过Servlet示例展示了如何创建并保存Session,同时设置JSESSIONID的Cookie以实现跨会话的数据持久化。

当我们把浏览器关闭了之后,session依然存在。但是,再次打开浏览器去访问这个session,就拿不到了。是因为,我们的cookie(jsessionid)没有了。

cookie默认是会话级别,我们把cookie的生存时间设置久一些就好了。

package com.ken.session;

import java.io.IOException;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;

public class SessionServlet1 extends HttpServlet {
	private static final long serialVersionUID = 1L;

	protected void doGet(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {

		// 创建属于该客户端(会话)的私有的session区域
		/*
		 * request.getSession()方法内部会判断 该客户端是否在服务器已经存在session
		 * 如果该客户端在此服务器不存在session,那么就会创建一个新的session对象
		 * 如果该客户端在此服务器已经存在session,就会获得该session返回
		 */
		HttpSession session = request.getSession();

		session.setAttribute("name", "jerry");

		String id = session.getId();// 该session对象的编号id(JSESSIONID)

		// 手动创建一个存储JSESSIONID的Cookie,为该cookie设置持久化时间
		Cookie cookie = new Cookie("JSESSIONID", "id");
//		cookie.setPath("/cookieDemo/");
		cookie.setMaxAge(10 * 60);

		response.addCookie(cookie);

		response.getWriter().write("JSESSIONID:" + id);
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response)
			throws ServletException, IOException {
		doGet(request, response);
	}
}

session重新设置JSESSIONID的生命周期
李卫康的博客
06-19 9734
HttpSession:在服务器中,为浏览器创建独一无二的内存空间,在其中保存会话相关的信息。4.1session作为域使用:他是j2ee中四大域对象之一,作用范围为整个会话。4.2session的生命周期:在第一次调用reqeust.getSession()方法的时候,服务器会检查是已经有对应的session,如果没有就在内存中创建一个session并返回。当一段时间内session没有被使用,...
JavaWeb开发(八)会话技术-Cookie和Session
qq_36158551的博客
01-06 1028
Cookie:数据存储在客户端本地,减少服务器端的存储的压力,安全性不好,客户端可以清除cookie。Cookie技术是将用户的数据存储到客户端的技术,我们分为两方面学习。(1)服务器端怎样将一个Cookie发送到客户端。(2)服务器端怎样接受客户端携带的Cookie。Session技术是将数据存储在服务器端的技术,会为每个客户端都创建一块内存空间存储客户的数据,但客户端需要每次都携带一个标识ID去服务器中寻找属于自己的内存空间。
实现会话持久化(Permanent Session)
Lullaby's Blog
04-19 2721
//注意,需要引用System.Runtime.Serialization.Formatters.Soap.dll程序集 public const string SESSIONDATAPATH = @"C:/SessionData/" ;private void Application_AcquireRequestState( object sender, EventArgs e)
会话Session的持久化处理
universe_ant的博客
05-17 1223
问题:什么是持久化?让我们用一张图片来进行说明吧。 Session的持久化: Session的持久化就是将HttpSession对象从内存中转移到文件系统或数据库中,这样做的好处是:减少系统资源的占用,如果Servlet容器突然关闭或重启,或Web应用重启,这些持久化了的HttpSession对象可以重新加载进来,对于客户端,还是使用同一个Session。 Session的持久化是由
jsessionid 到底是什么
从对比中寻找伤害
09-09 892
摘要 本文探讨了Web应用中URL中出现的jsessionid参数及其作用。jsessionid是J2EE容器用于标识用户会话的变量,通常通过Cookie存储在内存中,但若用户禁用Cookie,则需通过URL重写方式传递(形如;jsessionid=xxx)。为确保会话可用性,开发者应使用response.encodeURL()或response.encodeRedirectURL()方法处理跳转URL,自动适配Cookie禁用场景,维护会话连续性。文中强调了正确处理jsessionid对保障Session
使用Tomcat实现会话持久化
quanhezhi1的专栏
08-05 831
在不同的JSP容器中,进行会话持久化的操作方法各有不同。这一节中将介绍几种常用的JSP日期实现会话持久化的方法。 在Tomcat中,Session的持久化是由Session Manager来管理的,Tomcat提供了两个实现类来实现Session Manager的功能,这两个实现类分别是 ora.apache.catalina.session.StandardManager和 ora.a
持久化会话和队列消息 - MQTT核心:第七章
索隆有几把刀的博客
02-17 1069
持久化会话和队列消息 - MQTT核心:第七章 作者:HiveMQ Team 翻译:索隆有几把刀 欢迎来到MQTT核心系列的第七章。这个系列一共有十章,用来介绍MQTT的核心特性和概念。在这一章中,我们将讨论持久化会话和在MQTT中的消息队列。虽然按照定义,MQTT不是一个消息队列,但是它能为客户端将消息入列。我们将为你展示如何做到这点。 持久化会话 为了接受从代理来的消息,客户端会连接代理并订阅感兴趣的主题。假如客户端和代理是非持久化会话,那么一旦客户端与代理之间的连接中断,当客户端重新连接后,也需要重新
26. 会话技术-Session的使用
DevOps海洋的渔夫@专栏
11-16 1410
26. 会话技术-Session的使用一、 Session1.1 概述session是服务器端的会话技术#session的作用 在一次会话的多次请求之间共享数据,将数据保存到服务器端 ...
【Tomcat会话管理】:持久化解决方案与最佳实践
本文旨在深入探讨Apache Tomcat服务器的会话管理机制,重点分析会话持久化技术的理论基础和实践操作。文中首先介绍会话管理的基本概念和生命周期,然后详述了内存、文件系统和数据库三种不同类型的会话存储方式及其...
【Tomcat会话持久化实战】:配置与最佳实践,确保用户会话不丢失
!... # 摘要 本文深入探讨了Tomcat会话...文章还讨论了在不同应用场景下的会话持久化策略选择,以及如何通过加密技术提高会话安全性并优化性能。此外,文章探讨了自定义会话管理器、故障恢复与会话迁移等高级应用,并通过
【Tomcat会话管理】:session持久化与故障转移的5大策略
本文深入探讨了Tomcat会话管理机制,包括Session的基本概念、持久化方式以及高可用性策略。重点分析了不同Session数据存储方式(内存、文件系统、数据库)的优缺点,并对持久化对性能的影响进行了探讨,提出了相应的...
session的生命周期
mingyangdai的专栏
11-09 462
原文:http://www.cnblogs.com/binger/archive/2013/03/19/2970171.html  以前在学习的时候没怎么注意,今天又回过头来仔细研究研究了一下Session的生命周期。   Session存储在服务器端,一般为了防止在服务器的内存中(为了高速存取),Sessinon在用户访问第一次访问服务器时创建,需要注意只有访问JSP、Servl
关于jsessionid
Raymond.LEE
02-17 1483
jsessionid=CA72488F94BC8A3E92FEEDA8CC736FDC       这个jsessionid是session的一个标识。       我在这里转贴jdbc老大的部分讲解       session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。       当程序需要为某个客户端的请求创建一个sessio
Session的持久化
qq_39581763的博客
12-19 1140
一、前言 我们将部分信息存储在session中,web阶段一般存储的是用户名的一些信息用于验证用户是否登录。我们发现当我们关闭浏览器之后,之前存储的session信息就获取不到了。我们知道session是存储在服务器中、默认的时间是30分钟,为何获取不到了呢?因为获取session的时候需要浏览器携带一个cookie信息,jsessionid。 二、session的持久化操作 设置cooki...
面试官:讲讲session的持久化
热门推荐
緑水長流*z
09-26 2万+
一、session知识回顾 1.1 session何时创建? 默认第一次访问时,使用到了HttpSession就会创建(request.getSession),访问JSP时由于会自备九大内置对象,因此也会创建session(jsp本质上也是一个servlet,从这个角度上也可以解释) 1.2 session何时销毁? 1):当session存活时间到期时销毁(默认30分钟) 可以在web.xml中配置,延长session的存活时间: <session-config> <!-- 单位:分钟
Redis的简单使用 (实现Session持久化)
书生-w的博客
06-24 8774
Redis是一个开源的、内存中的数据结构存储系统,可以用作数据库、缓存和消息代理。它支持多种数据类型,包括字符串、哈希、列表、集合和有序集合。
知识点 : session + 持久化
你的微笑像拥抱
01-09 1948
前面是瞎扯,代码在后面。 前言 http 请求是无状态的,什么是无状态呢,就是你先后向服务器发送两个请求,服务器那边比较糊涂,自己是没有办法识别这两个请求是否是同一个用户发送来的。 也就是说,我上一秒给你五毛钱你下一秒就不认账的意思。 为了避免这种情况发生,我们告诉服务器,对岸的朋友来的时候,你给他一个签名,告诉他,下次带着签名过来,确认一下是不是对的人。 当然,这个签名也是有 有效期 的。 ...
session 的持久化存储
weixin_34203832的博客
04-25 1196
session 的定义: *参考koa-session源码 session 是一个概念,是一个数据对象,用来存储访问者的信息。 session 的存储方式由开发者自己定义,可存于内存,redis,mysql,甚至是 cookie 中。 用户第一次访问的时候,我们就会给用户创建一个他的 session ,并在 cookie 中塞一个他的 “钥匙key” 。所以即使 http请求 是无状态的,但通过...
JSESSIONID的Expires/Max-Age显示会话是什么意思
最新发布
09-30
<think>我们正在讨论JSESSIONID的Expires/Max-Age属性显示为"会话"(Session)的含义。根据之前的引用和背景知识,我们可以这样解释: 在引用[1]中提到,当cookie的`setMaxAge`方法传入一个负数时,该cookie是一个会话cookie,关闭浏览器时会被删除。同样,在引用[2]中,虽然没有直接提到会话,但提到了expires是失效日期,而如果设置为会话,则意味着没有设置一个具体的失效日期。 因此,对于JSESSIONID这个cookie(通常用于维护用户的会话状态),当它的Expires/Max-Age属性在浏览器中显示为"会话"时,意味着这个cookie是一个会话级别的cookie(Session Cookie),它的生命周期仅限于当前的浏览器会话。也就是说: 1. **浏览器关闭时自动删除**:当用户关闭浏览器时,这个cookie会被自动清除。 2. **没有设置具体的过期时间**:它不会持久化保存到用户的硬盘上,而是保存在内存中。 3. **会话管理**:这种设计是为了安全,因为会话结束时(比如关闭浏览器),用户的会话状态就应该结束,服务器端的session也可能在超时后被销毁(虽然服务器端session的销毁时间与这个cookie的过期时间没有直接关系,但通常服务器会设置一个session超时时间,比如30分钟不活动则销毁)。 另外,根据引用[4],我们知道JSESSIONID通常用于关联服务器端的session,所以这个cookie的有效期与会话一致是合理的。 因此,在浏览器的开发者工具中,当你看到JSESSIONID的Expires/Max-Age显示为"会话"时,它表示这个cookie是临时的,浏览器关闭就会消失。 ### 总结 - **含义**:JSESSIONID的有效期仅持续在当前浏览器会话期间,关闭浏览器即失效。 - **设置方式**:在服务器端创建JSESSIONID这个cookie时,没有设置`Max-Age`(或者设置了负数)或`Expires`属性,因此浏览器将其视为会话cookie。 - **目的**:保障用户会话的安全性,避免长期有效的cookie带来的安全风险。 ### 相关问题§§ 1. 如何将JSESSIONID设置为长期有效的cookie(比如7天有效)?这样做有什么风险? 2. 服务器端session的超时时间与JSESSIONID的过期时间有什么关联? 3. 如果浏览器关闭后重新打开,为什么有些网站还能保持登录状态(即使JSESSIONID会话cookie)? </think>### JSESSIONID 的 Expires/Max-Age 显示"会话"的含义 当浏览器开发者工具中 JSESSIONID 的 **Expires/Max-Age** 属性显示为"会话"(Session) 时,这表示该 Cookie 属于**会话级 Cookie**,具有以下核心特性: 1. **生命周期绑定浏览器进程** - 仅在当前浏览器标签页或窗口打开期间有效 - 关闭浏览器窗口后自动删除 - 重新打开浏览器时会生成全新的 JSESSIONID 2. **服务器端的设置方式** 在 Java Servlet 中,当不显式设置 `setMaxAge()` 时默认创建会话 Cookie: ```java // 默认创建会话JSESSIONID HttpSession session = request.getSession(); ``` 等价于: ```java Cookie jsessionid = new Cookie("JSESSIONID", sessionId); jsessionid.setMaxAge(-1); // 关键设置:负值表示会话Cookie[^1] ``` 3. **安全机制设计** - 避免长期保存会话凭证,降低会话劫持风险[^4] - 配合服务器 Session 超时机制(默认 30 分钟不活动自动失效) - 通常标记为 `Secure; HttpOnly` 防止客户端脚本访问 4. **与会话管理的关联** 浏览器每次请求携带 JSESSIONID → 服务器通过该 ID 查找对应的 Session 对象 → 存取用户状态数据[^3]。整个过程不需要持久化存储会话 ID。 ```mermaid graph LR A[浏览器请求] --> B{服务器检查<br>Cookie中的JSESSIONID} B -- 存在 --> C[查找对应Session对象] B -- 不存在 --> D[创建新Session<br>生成新JSESSIONID] C --> E[使用Session中的用户数据] D --> F[通过Set-Cookie返回新JSESSIONID] ``` ### 对比会话Cookie与持久Cookie | 特性 | 会话Cookie (Session) | 持久Cookie | |--------------------|----------------------------|-------------------------| | Expires/Max-Age | 显示"会话" | 具体日期/秒数 | | 存储位置 | 浏览器内存 | 硬盘文件 | | 关闭浏览器后 | 自动删除 | 保留至过期 | | 典型应用场景 | 会话管理、登录状态 | 长期偏好设置、自动登录 | | JSESSIONID 使用 | 默认方式 | 需显式设置 setMaxAge() | ### 注意事项 1. 即使 JSESSIONID会话 Cookie,服务器 Session 可能在超时后提前失效(默认 30 分钟) 2. 浏览器恢复会话功能(如 Chrome 的"继续浏览")可能保留会话 Cookie,但这属于浏览器行为扩展 3. 需配合 `SameSite` 属性防止 CSRF 攻击,推荐设置为 `SameSite=Lax`
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值