第六章 会话管理（Session）

---

会话管理的概念和基本原理

为什么进行会话管理

Web应用程序基于HTTP协议

• HTTP基于请求/响应模式
	– 所有请求都是相互独立的，无连续性的
	
• HTTP是无连接的协议
	– 限制每次连接只处理一个请求
	
• HTTP是无状态的协议
	– 协议对于事务处理没有记忆能力

会话管理的产生

• 对于简单的页面浏览或信息获取，HTTP协议即可胜任
	– 浏览资讯
	– 查看在线图书目录
• 对于需要客户端和服务器端多次交互的网络应用，则必须记住客户端状态
	– 网上的购物车
	– 用户登录

会话管理概念

会话就是一个客户端连续不断地和服务器端进行请求/响应的一系列交互

多次请求间建立关联的方式称为会话管理，或会话跟踪
– 会话状态，指服务器与浏览器在会话过程中产生的状态信息

会话的实现过程

HTTP没有提供任何记住客户端的途径，服务器如何建立、维护与客户端的会话

当服务器接收到客户端的首次请求时，服务器初始化一个会话并分配给该会话一个唯一标识符
– 在以后的请求中，客户端必须将唯一标识符包含在请求中，服务器根据此标识符将请求与对应的会话联系起来

---

• 使用Cookie、隐藏域、URL重写实现会话管理

会话管理：使用Cookie

• 所有的HTTP消息，不管是请求还是响应均包含头信息
	– 当服务器返回响应给客户端时，Servlet容器把会话的信息添加到响应头信息中
	– 客户端浏览器接收到响应后提取头信息，并将其存储在本地机中,以后发送请求时会自动将该信息带回服务器端

• 浏览器存储在客户端机器上的头信息称作Cookie，它以“属性名=属性值; …”方式组成文本信息

示例：使用Cookie实现用户登录

创建并向客户端发送Cookie

• 创建Cookie对象
– 调用Cookie的构造方法，给出Cookie的名称和Cookie的值，二者都是字符串
		Cookie c = new Cookie(“userName”,”a1234”)

• 设置最大时效
– 如果要告诉浏览器将Cookie存储到磁盘上，而非仅保存在内存中，
	使用setMaxAge方法(参数为秒数)
– c.setMaxAge(60*60*24*7)//一周(正数)

• 将Cookie放入到HTTP响应中
– 使用response.addCookie(c)
– 如没有这一步，将不会有任何Cookie被发送到浏览器

从客户端读取Cookie

调用request.getCookies
	– 得到Cookie对象组成的数组
	– 循环数组，调用每个对象的getName找到想要的cookie
	– 根据应用程序调用getValue方法使用这个Cookie

Cookie[] cookies = request.getCookies();
if(cookies != null)
{
	for(Cookie cookie : cookies)
	{
		if("userId".equals(cookie.getName()))
		{
			//doSomethingWith(cookie.getValue());
		}
	}
}

Cookie的方法

• getMaxAge()/setMaxAge()
	– 读取/设置Cookie到期时间(秒)
		• 如果值为0，表示删除对应的Cookie
		• 如果值为负数，表示Cookie只适用于当前的浏览会话
		• 默认值为-1
	
• getName()
	– 读取Cookie的名称。不存在setName方法

• getValue()/setValue()
	– 读取/设置与Cookie关联的值
		• 如果重新设置了某Cookie的值，需要用addCookie()方法将其发送回去

Cookie的优缺点

• 优点
	– 可配置到期规则，数据可持久保存
	– 不需要服务器资源，数据保存在客户端
	– 简单性，基于文本的Key-Value对
• 缺点
	– 大小受到限制(总数300;20/站点;4KB/Cookie)
	– 用户可禁用客户端接收Cookie的功能
	– 潜在的安全风险

会话管理：使用隐藏的表单域

• 思想
– 通过使用隐藏域，由浏览器主动告知服务器多次请求间必要的信息，如在线问卷作答

• 优点
– Cookie被禁用或者根本不支持的情况下依旧能够工作

• 缺点
– 关掉网页后会遗失先前的请求信息
– 所有的页面必须是表单提交之后的结果

会话管理：使用URL重写

• 思想
– 当服务器响应浏览器上一次请求时,将某些相关信息以超链接方式响应给
浏览器,超链接中包括请求参数信息

– 由于GET方式发送请求,通常URL重写用于简单客户端信息保留,或辅助
Session会话管理

---

• Session会话管理的原理和技术实现

Session

在Servlet中进行会话管理，可以使用HttpServletRequest的getSession()方法取得HttpSession对象(简称为Session),通过设置/获取服务器端Session对象的属性,来保留请求之间的相关信息

Servlet容器提供Session接口来代表服务器端和客户端的会话

– 当一个WEB服务器为客户端开始一个会话时,创建一个新的Session对象(含有特殊ID,称为Session ID,默认用Cookie存放在浏览器中。在Tomcat中,Cookie的名称为JSESSIONID)

Session将数据存储在服务器的内存中,供以后来自同一个客户端的请求使用

示例：使用Session实现用户登录

使用Session对象

• 通常分三个步骤
	– 获取一个与请求相关联的会话
		• HttpSession session = request.getSession();
	
	– 从Session中设置或获取一个属性
		• session.setAttribute(“userName”,userName);
		• session.getAttribute(“userName”);
	
	– 根据需要关闭会话
		• session.invalidate();
		• 通常客户端不提供结束会话的通知，而是Servlet容器在用户处于一段非
		活动期后就会自动的使会话失效——这个时间段称为会话的超时期

会话失效

• Session对象失效：当用户超出指定会话期时间处于非活动状态时，会话自动结束
	– setMaxInactiveInterval()，设置会话的超时期
	– 通过web.xml的<session-timeout>标签设置
	– 使用方法invalidate()

• Cookie失效
	– 默认关闭浏览器Cookie消失
	– 在web.xml中设定存储Session ID的Cookie存活期限

Session与URL重写

当用户浏览器禁用Cookie时，仍打算运用Session来进行会话管理，可以对所有的URL使用URL重写

Session的方法

• getAttribute()					– 从会话对象中提取出一个之前存储的属性值	•
									  如果没有找到与名称相关联的值，则返回null
									  	
• setAttribute()					– 设置会话对象的属性名称和属性值

• removeAttribute()					– 移除与名称关联的值

• getAttributeNames()				– 返回会话中所有属性的名称

• getId()							– 返回唯一的标识符

• isNew()							– 确定会话对于客户来说是否为新创建

• getCreationTime()					– 返回会话创建的时间

• getLastAccessedTime()				– 返回客户端最近一次发送请求的时间

• getMaxInactiveInterval()、		– 取得或设置会话的超时期
  setMaxInactiveInterval()	

• invalidate()						– 废弃当前的会话