【Java面试之session工作原理】

Java面试:Session工作原理及安全机制
原创 已于 2025-06-26 17:12:24 修改 · 497 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java #面试 #开发语言

于 2025-06-26 17:08:52 首次发布

程序员接单群
在这里插入图片描述

Session 是一种在无状态的 HTTP 协议中维持用户状态的机制,其工作原理可分为以下四个核心阶段:

1. 创建阶段

  • 用户首次访问时,服务器生成唯一 Session ID(如 SESS12345
  • 该 ID 通常通过 Cookie 返回浏览器(如 Set-Cookie: sessionid=SESS12345
  • 服务器端创建对应的存储空间(内存/数据库),初始状态为空

2. 存储阶段

  • 服务器将用户数据(如登录状态、购物车)关联到 Session ID
  • 存储方式包括:
    • 内存存储:快速但服务器重启丢失
    • 数据库存储:持久化但增加 I/O 开销
    • 分布式缓存(如 Redis):平衡性能与持久性
  • 数据示例:SESS12345 → {user_id: 1001, cart: [A,B]}

3. 传递阶段

  • 浏览器后续请求自动携带 Session Cookie
  • 服务器通过 Session ID 检索数据:
    请求头: Cookie: sessionid=SESS12345
服务器 → 查找存储中 SESS12345 对应的数据
  • 若无 Cookie(如禁用时),可通过 URL 重写传递 ID:example.com?sessionid=SESS12345

4. 销毁阶段

  • 显式销毁:用户登出时服务器主动删除数据
  • 超时销毁:设置空闲超时(如 30 分钟),通过时间戳验证:
    销毁条件: 当前时间−最后活动时间>Tmax \text{销毁条件}:\ \text{当前时间} - \text{最后活动时间} > T_{\text{max}} 销毁条件 当前时间最后活动时间>Tmax
  • 安全措施:Session ID 轮换(敏感操作后生成新 ID)

安全机制

  • Cookie 属性
    • HttpOnly:阻止 JavaScript 访问
    • Secure:仅通过 HTTPS 传输
    • SameSite:防御 CSRF 攻击
  • Session 固定防护:登录成功后更换 Session ID
  • 加密签名:防止客户端篡改 Session 数据

关键点:Session 的本质是 ID 映射,状态数据始终存储在服务器端,客户端仅持有无意义的标识符。这种设计平衡了状态维护与安全性需求。

Java八股文+Java面试题,面试找工作,基础薄弱,初中高级开发都适用+面试题,基础学习
04-16
"Java八股文"通常指的是Java面试中常被问到的一些经典问题,它们涵盖了语言基础、数据结构、算法、设计模式等多个方面。以下将详细解析这些关键知识点: 1. **Java基础**: - 类与对象:理解面向对象编程的基本...
最新Java面试题视频网盘,Java面试题84集、java面试专属及面试必问课程
06-24
Java面试题22.Session和Cookie的区别.mp4 │ Java面试题23.mvc模式和mvc各部分的实现.mp4 │ Java面试题24.数据库分类和常用数据库.mp4 │ Java面试题25.关系型数据库的三范式.mp4 │ Java面试题26.事务的四大...
10万字208道Java经典面试题总结(附答案)
热门推荐
学Java,找哪吒
08-02 104万+
1、JDK 和 JRE 有什么区别? JDK(Java Development Kit),Java开发工具包 JRE(Java Runtime Environment),Java运行环境 JDK中包含JRE,JDK中有一个名为jre的目录,里面包含两个文件夹bin和lib,bin就是JVM,lib就是JVM工作所需要的类库。 2、== 和 equals 的区别是什么? 对于基本类型,==比较的是值; 对于引用类型,==比较的是地址; equals不能用于基本类型的比较; 如果没有重写equa
java高频面试题(2025最新)
酷酷的馫博客
02-08 14万+
java高频面试题(2023最新)
Java后端真实面试题大全(有详细答案)--高频/真题
IT利刃出鞘的博客
11-24 16万+
本文分享Java后端真实高频面试题,有详细答案,保你稳过面试。题目包括:Java基础、多线程、JVM、数据库、Redis、Shiro、Spring、SpringBoot、MyBatis、MQ、ELK、SpringCloud、设计模式等。 本博客包含从简单到困难、从高频到低频的题目,适合所有Java求职者,包括:刚入门的、三年以内经验、三到五年经验、五到十年经验等。
java面试八股文
weixin_45927841的博客
03-21 7万+
目录一、java(1)集合1.list:LinkedList、ArrayList和Vector2.set:HashSet和TreeSet3.map:HashMap、TreeMap和HashTable4.list和set的区别(2)其他1.面向对象三大特性2.Object类的常用方法3.Java中线程安全的基本数据结构4.string、stringBuffer和stringBuilder5.抽象类与接口的区别6.java的基本数据类型7.java代码块执行顺序8.static关键字9.覆盖(重写)和重载的区别
Java最全面试题->Java基础面试题->JavaWeb面试题->Cookie/Session面试
白菜治
10-19 1334
cookie和Session常见面试
java面试题之cookie和session--快速了解cookie和session
dfghjkkjjj的博客
04-30 1024
一种会话技术(客户端和服务器连续的发生的一系列请求和响应,关闭浏览器会话关闭),把会话过程中的数据存在用户浏览器之中,简单来说由服务器创建发送到浏览器,然后保存在本地的一块数据。有一个特点浏览器再次发起请求时会被携带并发送到服务器。Session:一种将会话数据保存在服务器中的技术,Session 的实现依赖于 Cookie,如果 Cookie 被禁用,那么 session 也将失效。
掌握P5级Java面试技巧
我是Java程序员廖志伟,感谢朋友们的支持!
03-25 3万+
HashMap底层原理,扩容机制,jdk8以后会使用红黑树优化?红黑树和二叉平衡树的区别,红黑树和B树,B+树的区别,Mysql二大引擎索引底层实现,HashMap在多线程环境中为何出错?ConcurrentHashMap底层实现,CAS,原子引用,ABA问题,volatile,如何解决HashMap出现的OOM问题?(WeakHashMap) HashMap是Map的一个实现类,它是以键值对存储数据的,Key-Value都是Map.Entry中的属性。当我们向HashMap中存放一个元素(k1,v1)
Java面试题大全(2021版)
Java笔记
11-25 30万+
发现网上很多Java面试题都没有答案,所以花了很长时间搜集整理出来了这套Java面试题大全,希望对大家有帮助哈~ 本套Java面试题大全,全的不能再全,哈哈~ 一、Java基础知识面试题 1、Java概述 ①. 何为编程 编程就是让计算机为解决某个问题而使用某种程序设计语言编写程序代码,并最终得到结果的过程。 为了使计算机能够理解人的意图,人类就必须要将需解决的问题的思路、方法、和手段通过计算机能够理解的形式告诉计算机,使得计算机能够根据人的指令一步一步去工作,完成某种特定的任务。这种人和计算机
2025java面试题(含答案,持续更新中)
东风麦芽糖
03-08 3万+
2023java面试题,java常见面试题及答案:SpringMVC、Redis、Shiro、集合、Oracle数据库、SpringBoot、java基础,线程池面试
2025年 Java 面试八股文(20w字)
leader_song的博客
08-04 40万+
目录第一章-Java基础篇1、你是怎样理解OOP面向对象 难度系数:⭐2、重载与重写区别 难度系数:⭐3、接口与抽象类的区别 难度系数:⭐4、深拷贝与浅拷贝的理解 难度系数:⭐5、sleep和wait区别 难度系数:⭐6、什么是自动拆装箱 int和Integer有什么区别 难度系数:⭐7、==和equals区别 难度系数:⭐8、String能被继承吗 为什么用final修饰 难度系数:⭐9、String buffer和String builder区别
java程序员必备的面试宝典秘籍.pdf
02-12
虽然Java面试中涉及C++不多,但理解C++的面向对象特性、指针、内存管理、模板等也是加分项。 十、Weblogic及其他: Weblogic是企业级应用服务器,了解其部署、配置、集群等知识,同时可能考察其他服务器如Tomcat、...
SSM企业物资管理系统h3109(程序+源码+数据库+调试部署+开发环境)带论文文档1万字以上,文末可获取,系统界面在最后面
2509_93102542的博客
11-21 757
在技术实现上,国外多采用成熟的开发框架和技术架构,注重系统的安全性、稳定性和可扩展性,同时积极融入大数据、人工智能等新技术,实现物资需求预测、智能库存优化等功能。基于此,开发一套基于SSM框架的企业物资管理系统,整合部门、员工、物资及各类业务流程管理功能,实现物资管理的数字化、规范化和高效化,成为解决企业物资管理痛点的必然需求。本课题旨在开发一套基于SSM框架的企业物资管理系统,围绕部门、员工、物资信息、物资申请、消息提醒、物资归还、物资入库、意见反馈八大核心功能模块,实现企业物资管理的全流程数字化。
spring全局懒加载(default-lazy-init)导致的afterPropertiesSet不执行问题
豆豆的博客
11-21 430
Spring配置default-lazy-init="true"会导致所有Bean延迟初始化,影响afterPropertiesSet方法的执行时机。解决方案包括:1)为关键Bean显式设置lazy-init="false";2)使用@Lazy(false)注解;3)编程式强制初始化;4)使用DependsOn控制顺序。最佳实践建议分层配置策略,核心组件立即初始化,业务组件懒加载,并通过配置文件分离和环境区分优化配置。实际应用中,Web应用的请求处理相关Bean和批处
Java集合框架实战:构建高效的企业管理系统
2402_83075343的博客
11-23 653
本文通过两个企业管理系统案例,详细解析了Java集合框架的核心应用。员工部门管理系统采用HashMap实现部门与员工的高效映射,具备智能添加、快速查询和动态统计功能;商品库存管理系统基于ArrayList实现精细化管控,包含智能录入、库存预警和价格排序等特性。文章对比了HashMap和ArrayList的特性差异,提供了集合选型的最佳实践,并探讨了系统扩展方向。这两个实战案例展示了集合框架在企业应用中的实际价值,为开发者掌握Java集合提供了实用参考。
Spring Boot与MyBatis
最新发布
2509_94083104的博客
11-23 805
Spring Boot是一个用于创建独立的、基于Spring的生产级应用程序的框架,它简化了Spring应用的初始搭建以及开发过程。MyBatis是一款优秀的持久层框架,它支持定制化SQL、存储过程以及高级映射。将Spring Boot和MyBatis结合使用,可以高效地开发数据驱动的应用程序。
failed to parse multipart servlet request
Rockandrollman的博客
11-22 96
failed to parse multipart servlet request
SpringAI的学习以及智能聊天机器人项目
s_x_h_j的博客
11-20 541
本文介绍了SpringAI框架及其在Java开发中的应用
Java常见面试题解析与Hibernate工作原理
Hibernate的工作原理包括读取配置文件、创建SessionFactory、打开Session、创建事务、持久化操作、提交事务、关闭Session、关闭SessionFactory等步骤。Hibernate的优点是封装了JDBC访问数据库的代码,简化了数据访问...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值