JavaWeb Session 会话管理实例详解_java

Session会话简介

会话是指在一段时间内,用户使用同一个浏览器进程与Web应用之间的交互过程。

会话(Session)通常用来跟踪用户的状态,缓存用户在此浏览器进程中的信息。

当用户关闭浏览器,上一个Session也就无法再次获得了(Cookie的maxAge为-1的情况)。再次打开新的浏览器,将开始一个新的会话。

类javax.servlet.http.HttpSession。每一个HttpSession代表用户的一个会话。
每一个Session的过期时间默认为30分钟。

当浏览器第一次访问服务器时,无论先访问哪一个页面,服务器就会给用户分配一个唯一的会话标识,即jsessionid然后以cookie的形式返回给用户。
下图是一个响应头(下图是基于Servlet3.0的,在Servlet2.5中没有HttpOnly属性)

服务器给每个用户创建一个会话,即HttpSession对象,保存在服务器端。

那么,当用户再次访问服务器时,服务器是如何知道还是当前用户呢?

当浏览器再次访问服务器时,会携带包含了jsessionid的cookie访问服务器。服务器根据此id返回此用户的HttpSession对象,就保持了会话。
( 那么,是否可以在不同的浏览器上实现同一个同一个会话呢?

下面是一个典型的URL,它带有一定的欺骗作用,可以在不同的浏览器上实现同一个会话:

http://localhost:8080/day07_2/CNCookieServlet;jsessionid=F8692D61CD46D094DBB7A8FC7387649C )

浏览器和服务器的关系如下两图:

HttpSession:

在Servlet中,通过HttpServletRequest.getSession方法获取会话对像。

HttpSession接口的以下方法用于向会话范围内共享数据:

getAttribute(“name”)
setAttribute(“name”,object);
getAttributeNames()
removeAttrubute(“name”)

Invalidate(); - 此方法强力删除服务器缓存的session.

示例:

在一个Servlet的向httpSession中setAttribute设置某些值。

通过超连接,或其他方式转到其他servlet并通过getAttribute显示信息。

在任意Servlet中调用getAttribute显示信息。

关闭此浏览器,重新访问获取信息的servlet,你会发现已经没有信息了。

如下:

String name=request.getParameter("name");
request.setAttribute("name", "request---"+name);
request.getSession().setAttribute("name", "session---"+name);
getServletContext().setAttribute("name", "application---"+name); 

Session的唯一标识Id:

每一个Session都一个唯一标识,即ID。

当浏览器获取一个新的Session时,用户即可以通过session.geId();打印出ID的值 。

在不关闭浏览器的情况下,在多个页面上跳转,使用的是同一个Session。

如:

request.getSession().getId() 

何为安全退出:

用户退出时,应该当将自己的信息从Session中清除-即安全退出。

安全退出是为了将自己在服务器上留下的信息清除干净,以防被黑

Session.invalidate();

1、request.getSession().invalidate();

如此可将session池中的相对应的对象删除

2、Session.removeAttribute(…)

如:

request.getSession().removeAttribute("realCode");

用于删除session对象中的属性

通过重写URL来跟踪会话:

前面已经说过,Servlet容器先在客户端保存一个SessionID,以后,在浏览器发出HTTP请求时,都会包含这个SessionID.Servlet容器读取HTTP请求中的这个SessionID,根据这个SessionID从容器中取出HttpSession对像,以便于跟踪HTTP请求属于哪一个会话,这一过程称为会话的跟踪。

如果浏览器支持Cookie,Servlet容器就将SessionID作为Cookie保存在浏览器的客户端。但如果出于安全的考虑,用户禁用了Cookie,那么Servlet容器又如何来跟踪会话呢?

首先让我们在IE中禁用Cookie(注意:对于某些GHOST的系统不起作用)。

IE>工具>Internet选项>隐私>高级,然后禁用Cookie:

我们可以在主页加上这样的超链接:(与下面代码中相关的SaveServlet.java GetServlet.java LogoutServlet.java的代码我放在最后面贴)

<h2>演示重写url技术---破解用户禁用cookie之后,我们session无效的问题</h2>
<form action="<%=response.encodeURL("saveServlet") %>" method="post">
name:<input type="text" name="name"/><br/>
<input type="submit"/>
</form>
<a href="<%=response.encodeURL("getServlet") %>">重写url-读取几个容器中的数据</a><br/>
<a href="<%=response.encodeURL("logoutServlet") %>">重写url-安全退出</a> 

这句<form action=“<%=response.encodeURL(“/aa”)%>”>就可以实现这一功能

在这里禁用了cookie以后,浏览器仍然能够接收到服务器发送过来的cookie,但是浏览器只能接受不能发送出去给服务器,不能发送cookie的话也就不能够去session池中去取相应的对象了。

上面的代码在表单里面输入想要的值之后,再到下面的getServlet这里的超链接处访问看是不是仍然能够显示出输入的值,答案是肯定的。这里的访问路径就相当于类似

http://localhost:8080/day07_2/CNCookieServlet;jsessionid=F8692D61CD46D094DBB7A8FC7387649C 的,后面带的jsessionid=F8692D61CD46D094DBB7A8FC7387649C就是其id,如此,你到另一个浏览器中去输入这个网址也能够访问的到。
这里我要补充一下:(以下情况是在我将session池中HttpSession对象将对应session的JSESSIONID值和value值写入cookie中,这个cookie会覆盖系统造的那个,就相当于是我自己造的,我将存在时间设置成了十分钟,如果不覆盖的话,cookie在浏览器关闭时就会消亡,下面的现象也就不会出现了)

在是否禁用了cookie这两种情况下在session池中新建的对象的id是不一样的,即假如你在禁用了cookie时在表单中输入了一个name的值,查询结果如下:

并且jsessionid为2BB51EBDEAAF14D19656C71E1B6F9FF6

然后马上换成不禁用cookie模式,输入另一个名字如Tom,查询结果自然会是两个Tom,jsessionid为

203F9E4DB5D874476B81DAF350661B6A,与禁用是不一样,这就使出现下面的结果了

然后此时我们将浏览器关闭,再次进入浏览器,在不禁用cookie模式下查看访问结果,如下:

下面我将主要的代码贴上来:

SaveServlet.java

package cn.hncu.servlets.session;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class SaveServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
doPost(request, response);
}
public void doPost(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
request.setCharacterEncoding("utf-8");
String name=request.getParameter("name");
request.setAttribute("name", "request---"+name);
request.getSession().setAttribute("name", "session---"+name);
getServletContext().setAttribute("name", "application---"+name);
//把cookie技术和session技术联合起来做应用的一个例子---※功能:让用户在关闭浏览器之后,如果10分钟之内能够登录本站,还能访问到session中的信息
//向客户端写一个key为"JSESSIONID"用value为sessionid的cookie,
Cookie c=new Cookie("JSESSIONID", request.getSession().getId());
c.setMaxAge(60*10);//上面的现象就是这一句造成的,没有这一句的话就不会有上面说的现象了
c.setPath(request.getContextPath());
response.addCookie(c);
out.println("保存成功...");
out.flush();
out.close();
}
}

GetServlet.java

package cn.hncu.servlets.session;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class GetServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
out.println("<!DOCTYPE HTML PUBLIC \"-//W3C//DTD HTML 4.01 Transitional//EN\">");
out.println("<HTML>");
out.println(" <HEAD><TITLE>A Servlet</TITLE></HEAD>");
out.println(" <BODY>");
String reqName=(String) request.getAttribute("name");
String seName=(String) request.getSession().getAttribute("name");
String appName=(String) getServletContext().getAttribute("name");
out.println(reqName+"<br/>");
out.println(seName+"<br/>");
out.println(appName+"<br/>");
out.println(" </BODY>");
out.println("</HTML>");
out.flush();
out.close();
}
}

LogoutServlet.java

package cn.hncu.servlets.session;
import java.io.IOException;
import java.io.PrintWriter;
import javax.servlet.ServletException;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
public class LogoutServlet extends HttpServlet {
public void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=utf-8");
PrintWriter out = response.getWriter();
//安全退出---只要让session对象无效就可以了
request.getSession().invalidate();
out.println("已安全退出...");
}
} 

以上所述是小编给大家介绍的JavaWeb Session 会话管理,希望对大家有所帮助,如果大家有任何疑问欢迎给我留言,小编会及时回复大家的!

以上是小编为您精心准备的的内容,在的博客、问答、公众号、人物、课程等栏目也有的相关内容,欢迎继续使用右上角搜索按钮进行搜索javaweb
, session管理
session会话管理
session会话、session会话保持、session会话机制、java session会话保持、session安全 会话劫持,以便于您获取更多的相关知识。

时间: 2024-11-01 08:25:06

JavaWeb Session 会话管理实例详解_java的相关文章

Spring Bean基本管理实例详解_java

本文实例讲述了Spring Bean基本管理.分享给大家供大家参考,具体如下: 一.使用setter方式完成依赖注入 下面是Bean和beans-config.xml文件. public class HelloBean { private String helloWord; //...省略getter.setter方法 } <?xml version="1.0" encoding="UTF-8"?> <!DOCTYPE beans PUBLIC &

Spring中的事务管理实例详解_java

本文实例讲述了Spring中的事务管理.分享给大家供大家参考.具体分析如下: 事务简介: 事务管理是企业级应用程序开发中必不可少的技术,用来确保数据的完整性和一致性 事务就是一系列的动作,它们被当作一个单独的工作单元.这些动作要么全部完成,要么全部不起作用 事务的四个关键属性(ACID) ① 原子性(atomicity):事务室一个原子操作,有一系列动作组成.事务的原子性确保动作要么全部完成,要么完全不起作用 ② 一致性(consistency):一旦所有事务动作完成,事务就被提交.数据和资源就

Android activity堆栈及管理实例详解_Android

本示例演示如何通过设置Intent对象的标记,来改变当前任务堆栈中既存的Activity的顺序. 1. Intent对象的Activity启动标记说明: FLAG_ACTIVITY_BROUGHT_TO_FRONT 应用程序代码中通常不设置这个标记,而是由系统给单任务启动模式的Activity的设置. FLAG_ACTIVITY_CLEAR_TASK 如果给Intent对象添加了这个标记,那么在Activity被启动之前,会导致跟这个Activity关联的任何既存的任务都被清除.也就是说新的Ac

Android activity堆栈及管理实例详解

本示例演示如何通过设置Intent对象的标记,来改变当前任务堆栈中既存的Activity的顺序. 1. Intent对象的Activity启动标记说明: FLAG_ACTIVITY_BROUGHT_TO_FRONT 应用程序代码中通常不设置这个标记,而是由系统给单任务启动模式的Activity的设置. FLAG_ACTIVITY_CLEAR_TASK 如果给Intent对象添加了这个标记,那么在Activity被启动之前,会导致跟这个Activity关联的任何既存的任务都被清除.也就是说新的Ac

Javaweb El表达式实例详解_java

EL全称 Expression Language(表达式语言),是jsp2.0最重要的特性之一,可以利用EL表达式来访问应用程序中的数据,来消除jsp页面中的java脚本. el表达式的语法 expression例如x+y可以写成{x+y} el中的关键字 以下是el中的关键字,他们不能用做标识符: and,eq,gt,true,instanceof,or,ne,le,false,empty,not,lt,ge,null,div,mod 一.EL表达式简介 EL 全名为Expression La

JavaWeb实现文件上传下载功能实例详解_java

在Web应用系统开发中,文件上传和下载功能是非常常用的功能,今天来讲一下JavaWeb中的文件上传和下载功能的实现. 文件上传概述 1.文件上传的作用 例如网络硬盘!就是用来上传下载文件的. 在智联招聘上填写一个完整的简历还需要上传照片呢. 2.文件上传对页面的要求 上传文件的要求比较多,需要记一下: 必须使用表单,而不能是超链接 表单的method必须是POST,而不能是GET 表单的enctype必须是multipart/form-data 在表单中添加file表单字段,即<input ty

JavaWeb实现文件上传与下载实例详解_java

 在Web应用程序开发中,文件上传与下载功能是非常常用的功能,下面通过本文给大家介绍JavaWeb实现文件上传与下载实例详解. 对于文件上传,浏览器在上传的过程中是将文件以流的形式提交到服务器端的,如果直接使用Servlet获取上传文件的输入流然后再解析里面的请求参数是比较麻烦,所以一般选择采用apache的开源工具common-fileupload这个文件上传组件.这个common-fileupload上传组件的jar包可以去apache官网上面下载,common-fileupload是依赖于

springmvc与mybatis集成配置实例详解_java

简单之美,springmvc,mybatis就是一个很好的简单集成方案,能够满足一般的项目需求.闲暇时间把项目配置文件共享出来,供大家参看: 1.首先我们来看下依赖的pom: <!-- spring --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-core</artifactId> <version>${spring.ve

Java Web请求与响应实例详解_java

Servlet最主要作用就是处理客户端请求并作出回应,为此,针对每次请求,Web容器在调用service()之前都会创建两个对象,分别是HttpServletRequest和HttpServletResponse.其中HttpServletRequest封装HTTP请求消息,HttpServletResponse封装HTTP响应消息.需要注意的是,Web服务器运行过程中,每个Servlet都会只创建一个实例对象,不过每次请求都会调用Servlet实例的service(ServletRequest