Session

1. 概念：服务器端会话技术，在一次会话的多次请求间共享数据，将数据保存在服务器端的对象中。HttpSession

2. 快速入门：

   1. 获取 HttpSession 对象：

      HttpSession session = request.getSession();
      

   2. 使用 HttpSession 对象：

      Object getAttribute(String name)
      void setAttribute(String name, Object value)
      void removeAttribute(String name)
      

3. 原理

   • Session 的实现是依赖于 Cookie 的。

     

4. 细节：

   1. 当客户端关闭后，服务器不关闭，两次获取 session 是否为同一个？

      • 默认情况下不是。
      • 如果需要相同，则可以创建 Cookie,键为 JSESSIONID，设置最大存活时间，让 cookie 持久化保存。 Cookie c = new Cookie("JSESSIONID",session.getId()); c.setMaxAge(60*60); response.addCookie(c);

   2. 客户端不关闭，服务器关闭后，两次获取的 session 是同一个吗？

      • 不是同一个，但是要确保数据不丢失。tomcat 自动完成以下工作
        • session 的钝化：
          • 在服务器正常关闭之前，将 session 对象系列化到硬盘上
        • session 的活化：
          • 在服务器启动后，将 session 文件转化为内存中的 session 对象即可。

   3. session 什么时候被销毁？

      1. 服务器关闭

      2. session 对象调用 invalidate() 。

      3. session 默认失效时间 30 分钟 选择性配置修改

         <session-config>
         <session-timeout>30</session-timeout>
         </session-config>
         

5. session 的特点

   1. session 用于存储一次会话的多次请求的数据，存在服务器端
   2. session 可以存储任意类型，任意大小的数据
   • session 与 Cookie 的区别：
     1. session 存储数据在服务器端，Cookie 在客户端
     2. session 没有数据大小限制，Cookie 有
     3. session 数据安全，Cookie 相对于不安全

Session

• session 是另一种记录服务器和客户端会话状态的机制
• session 是基于 cookie 实现的，session 存储在服务器端，sessionId 会被存储到客户端的 cookie 中

• session 认证流程：
  • 用户第一次请求服务器的时候，服务器根据用户提交的相关信息，创建对应的 Session
  • 请求返回时将此 Session 的唯一标识信息 SessionID 返回给浏览器
  • 浏览器接收到服务器返回的 SessionID 信息后，会将此信息存入到 Cookie 中，同时 Cookie 记录此 SessionID 属于哪个域名
  • 当用户第二次访问服务器的时候，请求会自动判断此域名下是否存在 Cookie 信息，如果存在自动将 Cookie 信息也发送给服务端，服务端会从 Cookie 中获取 SessionID，再根据 SessionID 查找对应的 Session 信息，如果没有找到说明用户没有登录或者登录失效，如果找到 Session 证明用户已经登录可执行后面操作。

根据以上流程可知，SessionID 是连接 Cookie 和 Session 的一道桥梁，大部分系统也是根据此原理来验证用户登录状态。