[原]JSP&Servlet学习笔记(4): 会话管理

贺含悦 18/02/28 22:19:23

会话管理基本原则

使用隐藏域

在HTTP协议中,服务器是没有记忆功能的,每个请求对服务器来说都是新请求。
所以就有了隐藏域,隐藏域是主动告知服务器多次请求间必要信息的方式之一。
如何将上一次的结果成为下一次请求的隐藏域呢?
做法之一就是将上一次的结果发送至服务器,由服务器将上一次的结果以隐藏域的方式再响应给浏览器。
比如调查问卷,第一页的结果会在第二页成为隐藏域,当第二页发送后,可以看到两页问卷的所有答案。

...
@WebServlet("/questionnarie")
public class Questionnaire extends HttpServlet {
    protected void processRequest(HttpServlertRequest request, HttpServletResponse response)
                            throws ServletException, IOException {
        ...
        PritWriter out = response.getWriter();
        String page = request.getParameter("page");
        ...
        if(page == null) {
            out.println("问题一:<input type='text' name='p1q1'><br>");
            out.println("问题二:<input type='text' name='p1q2'><br>");
            out.println("input type='submit' name='page' value='下一页'");
        }
        else if("下一页".equals(page)) {
            String p1q1 = request.getParameter("p1q1");
            String p1q2 = request.getParameter("p1q2");
            out.println("问题三:<input type='text' name='p2q1'><br>");
            out.println("<input type='hidden' name='p1q1' value='" + p1q1   + "'>");
            out.println("<input type='hidden' name='p1q1' value='" + p1q2   + "'>");
            out.println("<input type='submit' name='page' value='完成'>");
        }
        else if("完成".equals(page)) {
            out.println(request.getParameter("p1q1") +  "<br>");
            out.println(request.getParameter("p1q2") +  "<br>");
            out.println(request.getParameter("p2q1") +  "<br>");
        }
        ...
    }
    ...
}

使用Cookie

Cookie是在浏览器存储信息的一种方式,服务器可以响应浏览器set-cookie标头,浏览器收到这个标头与数值后,会将它以文件形式存储在计算机上,这个文件就是Cookie
Cookie可以设定存活期限,保留一些有用的信息在客户端,如果关闭浏览器后,再次打开,若Cookie仍在有效期,浏览器会使用cookie标头自动将Cookie发送给服务器,服务器就可以得知一些先前浏览器请求的相关信息。默认关闭浏览器后Cookie失效。

//创建Cookie
Cookie cookie = new Cookie("user", "caterpillar");
cookie.setMaxage(7 * 24 * 60 * 60); //单位是“秒”
response.addCookie(cookie);

用HttpServletRequest的getCookies()来取得浏览器上存储的Cookie,返回Cookie[]数组

Cookie[] cookies = request.getCookies();
if(cookies != null) {
    for(Cookie cookie : cookies) {
        String name = cookie.getName();
        String value = cookie.getValue();
        ...
    }
}

Cookie可以实现用户自动登录功能。
当用户访问首页时,会先取得所有的Cookie,然后一个一个检查是否有Cookie存储名称name与值value和你要登录的一样的,如果有,则表示先前用户登录时,曾将选取过“自动登录”选项(请求中会带有login参数且值为auto),因此直接转发至用户页面。如果没有,重定向到登录窗体。

使用URL重写

通常URL重写是用在一些简单的客户端信息保留,或者是辅助会话管理。


HttpSession会话管理

Servlet/JSP中进行会话管理的机制:使用HttpSession

使用HttpSession

如果想在浏览器与Web应用程序的会话期间,保留请求之间的相关信息,可以使用HttpSession的setAttribute()方法将相关信息设置为属性。在会话期间,你就可以当作Web应用程序“记得”客户端的信息,如果像取出这些信息,则通过HttpSession的getAttribute()就可以取出。
如果想在此次会话期间,直接让目前的HttpSession失效,可以执行invalidate()方法,可以用来实现注销的功能。
在登录时,如果名称与密码正确,就取得HttpSession并设定一个login属性,用以代表用户作完成登录的动作。其他的Servlet/JSP,如果可以从HttpSession取得login属性,基本上就可以确定这是一个已经登录的用户。这种属性通常称为登录令牌。
执行HttpSession的invalidate()之后,容器就会销毁回收HttpSession对象,如果再次通过HttpServletRequest的getSession(),取得HttpSession就是另一个新对象了。

HttpSession会话管理原理

尝试执行httpServletRequest的getSession()时,Web容器就会创建HttpSession对象。每个HttpSession对象都会有一个特殊的ID,称为Session ID(默认使用Cookie存放在浏览器中),你可以执行getId()来取得。
当浏览器请求应用程序时,会将Cookie中存放的Session ID一并发送给应用程序,Web容器会根据Session ID来找出对应的HttpSession对象。
由于HttpSession对象会占用内存空间,所以HttpSession的属性中尽量不要存储耗费资源的大型对象,必要时将属性移除,或者不需使用HttpSession时,执行invalidate()让HttpSession失效。
默认关闭浏览器马上失效的是浏览器上的Cookie,不是HttpSession。因为Cookie失效了,就无法通过Cookie来发送Session ID。要让HttpSession立即失效必须运行invalidate()方法,否则HttpSession会等到设定的时效期间过后才会被容器销毁回收。
可以执行HttpSession的setMaxInactiveInterval()方法,设定浏览器多久没有请求应用程序的话,HttpSession就自动失效(而不是存储Session ID的Cookie失效时间),单位是“秒”。

HttpSession与URL重写

如果在用户禁用Cookie的情况下,仍打算运用HttpSession来进行会话管理,那么可以搭配URL重写的,向浏览器响应一段超链接,超链接URL后附加Session ID,当用户单击超链接,将Session ID以GET请求发送给Web应用程序。
使用HttpServletResponse的encodeURL()就会产生有Session ID的URL。

作者:hxllhhy 发表于 2018/02/28 22:19:23 原文链接 https://blog.csdn.net/hxllhhy/article/details/79307806
阅读:18