当某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识,
如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个 session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个 session id将被在本次响应中返回给客户端保存。
Session的实现方式
1 ) 使用Cookie来实现
服务器给每个Session分配一个唯一的JSESSIONID,并通过Cookie发送给客户端。当客户端发起新的请求的时候,将在Cookie头中携带这个JSESSIONID。这样服务器能够找到这个客户端对应的Session。
2 )使用URL回显来实现
URL回写是指服务器在发送给浏览器页面的所有链接中都携带jsessionid(注:字母小写)的参数,这样客户端点击任何一个链接都会把jsessionid带给服务器。jsessionid跟一般的url参数传递方式是不同的,
不是作为参数跟在"?"后面,而是紧跟在url后面用";"来分隔,如http://www.baidu.com;jsessionid=301AFB9FAADF7EF76D18B43B8075F157?name=xiaoHong。
如果一个请求中,cookie中有JSESSIONID,url后有jsessionid,服端会先解析cookie,如果cookie中的JSESSIONID存在就不会再读取url后的jsessionid。
服务器处理请求后返回的页面中包含有url,如果cookie中没有JSESSIONID,很可能cookie被禁止了(cookie中没有JSESSIONID不能说明cookie被禁止了,当你手动清空cookie,本地都没有cookie,当然没JSESSIONID),
我们需要在url后加上jsessionid。
这样岂不是很麻烦,每次请求都要做判断,这些问题有人已经帮我们想到了。
所以提供了2个方法来使事情变得简单:response.encodeURL()和response.encodeRedirectURL()。
这2个方法会判断cookie是否可用,如果禁用了会解析出url中的jsessionid,并连接到指定的url后面,如果没有找到jessionid会自动帮我们生成一个。
说是这2个方法在判断是否要包含jsessionid的逻辑上会稍有不同。
在调用HttpServletResponse.sendRedirect前,应该先调用encodeRedirectURL()方法,否则可能会丢失Sesssion信息。
这2个方法的使用方法如:response.sendRedirect(response.encodeURL("/myapp/input.jsp"));。
如果cookie没有禁用,我们在浏览器地址栏中看到的地址是这样的:/myapp/input.jsp,如果禁用了cookie,我们会看到:/myapp/input.jsp;jsessionid=73E6B2470C91A433A6698C7681FD44F4。
所以,我们在写web应用的时候,为了保险起见,应该在程序里的每一个跳转url上都使用这2个方法,来保证session的可用性。