深入理解session

最新推荐文章于 2023-04-04 14:06:35 发布

jessyLi0519

最新推荐文章于 2023-04-04 14:06:35 发布

阅读量704

点赞数

分类专栏： J2EE

本文链接：https://blog.youkuaiyun.com/lhb1987422/article/details/8446387

版权

J2EE 专栏收录该内容

5 篇文章

订阅专栏

一直在使用session存储数据，一直没有好好总结一下session的使用方式以及其工作原理，今天在这里做一下梳理。
这里的介绍主要是基于Java语言，其他的语言操作可能会有差别，但基本的原理不变。

在一个JavaWeb应用程序中新建2个jsp页面，名称分别为first.jsp和second.jsp。都是如下代码：
<%@ page language="java" pageEncoding="gb2312"%>
<html>
<head>
    <title>First.jsp page</title>
</head>
<body>
<%
    out.println(session.getId()+”<br>”);
    out.println(session.isNew());
%>
</body>
</html>
然后我们启动服务器在同一个浏览器页面中先访问first.jsp然后再访问second.jsp，结果如下：
first.jsp
60FF62D46CCB9088DA4BA6125E612ED4
true
second.jsp
60FF62D46CCB9088DA4BA6125E612ED4
false
可以看到Id号码是一样的，当我们第一次访问一个Jsp页面时session对象就会创建，而以后的其他页面都是引用相同的session对象。
打开两个浏览器页面，分别访问first.jsp和second.jsp我们可以看到这时两个页面中的id号是不一样的，而且都是true，我们可以很容易得出结论，在相同的浏览器页面中是共享同一个session对象的。在大多数书籍中都是这样介绍session作用域的。但是情况并非全部如此，多个浏览器页面其实是完全可以共享相同的session对象的。下面我们慢慢解开谜底。
当我们打开浏览器页面第一次访问first.jsp 页面时，容器会生成一个session对象（设置了<%@ page session=false %>指令除外），并将这个session对象的Id号码通过cookie的形式传送到客户端（但是这个cookie不会写入到客户端硬盘上，通常是存在浏览器的缓存当中，当这个页面关闭后它就随之消失，在IE中这个cookie的设置叫做会话cookie，可以尝试一下将这个会话cookie禁用掉，结果会如何），这个cookie的名称一般称为jsessionid，值当然是sesion的id号码。当客户通过此浏览器页面再次访问该web应该程序的其他页面时，就会将这个cookie传送给容器，容器就会通过这个jsessionid号码找到已经生成session对象.如果当发送的请求没有与之相关联的jsessionid时，容器才会生成一个新的session对象。如果客户端禁用掉了会话cookie那么容器就不会根据请求找到任何已经建立的session对象，所以每次都会生成新的session对象，这样会对容器的性能大打折扣，所以在这种情况下可以设置session指令，告诉容器不必为每一个页面都生成一个新的session对象。但是这种方式有一定的局限性，除非每个页面都不使用session对象，但是session的功能早已经深入人心，这种情况我们可以使用重写URL的方式，手工的给其他的页面传递jsessionid号码，这样容器就能够通过传递的id号码找到以前的 session对象，而不会再生成新的session对象了。这种方式完全可以打破同一个浏览器页面共享一个session对象的说法，多个浏览器页面也完全可以。

注意：如果想在彻底的搞懂session的工作机制，其实先要清楚cookie的工作机制，因为一般情况下容器都会用到cookie来寻找jesessionid的。

相关理论知识：

一。session实现与工作原理

浏览器和服务器采用http无状态的通讯，为了保持客户端的状态，使用session来达到这个目的。然而服务端是怎么样标示不同的客户端或用户呢？
这里我们可以使用生活中的一个例子，假如你参加一个晚会，认识了很多人，你会采取什么方式来区分不同的人呢！你可能根据脸型，也有可能根据用户的名字，
或者人的身份证，即采用一个独一无二的标示。在session机制中，也采用了这样的一个唯一的session_id来标示不同的用户，不同的是：浏览器每次请求都会带上
由服务器为它生成的session_id.

简单介绍一下流程：当客户端访问服务器时，服务器根据需求设置session，将会话信息保存在服务器上，同时将标示session的session_id传递给客户端浏览器，
浏览器将这个session_id保存在内存中(还有其他的存储方式，例如写在url中)，我们称之为无过期时间的cookie。浏览器关闭后，这个cookie就清掉了，它不会存在用户的cookie临时文件。
以后浏览器每次请求都会额外加上这个参数值，再服务器根据这个session_id，就能取得客户端的数据状态。

如果客户端浏览器意外关闭，服务器保存的session数据不是立即释放，此时数据还会存在，只要我们知道那个session_id,就可以继续通过请求获得此session的信息；但是这个时候后台的session还存在，但是session的保存有一个过期，时间一旦超过规定时间没有客户端请求时，他就会清除这个session。

二。session的存储机制

默认的session是保存在files中，即以文件的方式保存session数据，而session-id是最终保存在内存中

常见问题：

1。如果禁用了cookie 怎么传session？

  需要在所有连接(http href)中加入sid这个参数，以保证session id的传递
  当客户端浏览器中禁止 Cookie，Servlet 容器无法从客户端浏览器中取得作为 Cookie 的 Session ID，也就无法跟踪客户状态。
  Java Servlet API 中提出了跟踪 Session 的另一种机制，如果客户端浏览器不支持 Cookie，Servlet 容器可以重写客户请求的 URL，把 Session ID 添加到 URL 信息中。
  HttpServletResponse 接口提供了重写 URL 的方法：public java.lang.String encodeURL(java.lang.String url)
  该方法的实现机制为：
   ● 先判断当前的 Web 组件是否启用 Session，如果没有启用 Session，直接返回参数 url。
   ● 再判断客户端浏览器是否支持 Cookie，如果支持 Cookie，直接返回参数 url；如果不支持 Cookie，就在参数 url 中加入 Session ID 信息，然后返回修改后的 url。
    我们可以对网页中的链接稍作修改，解决以上问题：
        修改前：
            <a href=“maillogin.jsp“>
        修改后：
            <a href=“<%=response.encodeURL(“maillogin.jsp“)%>“>

每个URL里都加上session_id=XXXXXXX...
例如:
http://mail.cn.yahoo.com/?id=10004