Session 机制

简介: Session 机制

一、Session 会话机制原理

Session(会话)机制是一种在 Web 应用程序中用来跟踪用户状态的技术。它通过在服务器端存储和管理用户信息,为每个用户分配一个唯一的会话标识符(Session ID/Token),并将该标识符传递给客户端浏览器,在后续的请求中使用该标识符来关联用户与其数据。

在《HTTP协议》章节中介绍了Cookie是客户端在本地存储数据的一种机制。而Cookie的一种典型应用场景就是保存用户的身份标识,在这种场景下,对于身份标识的分配、存储就需要使用到了Session机制。

通常Session机制是和Cookie机制配合使用的,它的工作原理大体如下:

(1)客户端发送第一个请求到服务器。服务器接收到请求后,为该客户端创建一个唯一的会话标识符(Session ID),通常是一个长随机字符串。同时,创建一个对应的 Session 对象用来存储和管理会话信息。并将 Session ID 作为 Key,Session 对象作为 Value 存储在服务端的一个“哈希表”中。

(2)服务器使用Cookie机制,以响应头 Set-Cookie 方式,将创建的 Session ID 返回给客户端。

(3)客户端在后续的请求中,将会话标识符 Session ID 作为参数传递给服务器。服务器根据会话标识 Session ID 符找到对应的 Session 对象,从中获取和更新会话数据。

二、Servlet 中的 Session机制

在Servlet中针对Session也提供了一些方法上的支持:

1、HttpServletRequest 类提供的方法

方法 描述
HttpSession getSession() 在服务器中获取会话。如果参数为 true,当不存在会话时新建会话;如果参数为 false,当不存在会话时返回 null

调用这个方法会做 3 件事:

  1. 读取请求中Cookie里面的Session ID。
  2. 在服务器端根据Session ID查询Session对象。
  3. 根据传递参数处理查询结果:

(1)getSession中有一个Boolean类型的参数,如果参数为 true,查到就直接返回对应的Session对象;如果没查到,会创建一个Session会话,同时将新生成的Session ID、和Session对象分别作为Key、Value存储到服务器端的“哈希表”中,同时会把Session ID以Set-Cookie的方式返回给客户端。


(2)如果参数为false,查到直接返回对应Session对象;如果没查到返回null。

2、HttpSession 类常用方法

一个 Session 对象里面包含多个键值对,可以认为Session对象也是一个哈希表:

方法 描述
Object getAttribute(String name) 该方法返回在该 session 会话中具有指定名称的对象,如果没有指定名称的对象,则返回 null。
void setAttribute(String name, Object value) 该方法使用指定的名称绑定一个对象到该 session 会话。
removeAttribute(String name) 从会话中移除指定名称的属性。
invalidate() 使当前会话无效,删除会话中的所有属性。
boolean isNew() 判定当前是否是新创建出的会话。

三、模拟实现登录功能

上述的Session机制常常用于登录场景,下面就使用Session机制实现一个简单的登录逻辑:

1、登录的前端代码

使用form表单提交数据,默认以application/x-www-form-urlencoded格式提交给服务器,之后可以通过 getParameter获取到指定的value。

    <form action="login" method="post">
        <input type="text" name="username">
        <input type="password" name="password">
        <input type="submit" value="提交">
    </form>

2、使用 Servlet 完成登录的校验

// 这个类用来实现登录时的校验.
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp)
     throws ServletException, IOException {
        // 1. 先从请求中拿到用户名和密码.
        // 为了保证读出来的参数也能支持中文, 设置请求的编码方式是 utf8
        req.setCharacterEncoding("utf8");
        String username = req.getParameter("username");
        String password = req.getParameter("password");
        // 2. 验证用户名密码是否正确
        if (username == null || password == null || username.equals("") || password.equals("")) {
            resp.setContentType("text/html; charset=utf8");
            resp.getWriter().write("当前输入的用户名或密码不能为空!");
            return;
        }
        // 此处假定用户名只能是 lihua 密码都是 123456
        // 正常的登录逻辑, 验证用户名密码都是从数据库读取的.
        if (!username.equals("lihua") || !password.equals("123")) {
            // 用户名或密码错误
            resp.setContentType("text/html; charset=utf8");
            resp.getWriter().write("用户名或密码有误");
            return;
        }
        // 3. 用户名和密码验证成功, 接下来就创建一个会话:
        //    当前用户处于未登录的状态, 此时请求的 cookie 中没有 sessionId
        //    此处的 getSession 是无法从服务器的 哈希表 中找到该 session 对象的.
        //    由于此处把参数设为 true 了, 所以就允许 getSession 在查询不到的时候, 
        //    创建新的 session 对象和 sessionId,
        //    并且会自动的把这个 sessionId 和 session 对象存储的 哈希表 中.
        //    同时返回这个 session 对象, 并且在接下来的响应中会自动把这个 sessionId 返回给客户端浏览器.
        HttpSession session = req.getSession(true);
        // 接下来可以让刚刚创建好的 session 对象存储我们的自定义的数据
        session.setAttribute("username", username);
        // 4. 登录成功之后, 自动跳转到 主页
        resp.sendRedirect("index");
    }
}

3、使用 Servlet 生成简单的主页面

// 这个 Servlet 用来动态的生成主页面.
@WebServlet("/index")
public class IndexServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest req, HttpServletResponse resp)
     throws ServletException, IOException {
        // 此处参数设置为false,禁止创建会话. 如果没找到, 认为用户是未登录的状态!!
        HttpSession session = req.getSession(false);
        if (session == null) {
            // 未登录状态
            resp.setContentType("text/html; charset=utf8");
            resp.getWriter().write("当前用户未登录!");
            return;
        }
        // 如果找到了才认为是登录状态,接下来验证session对象中的信息
        String username = (String) session.getAttribute("username");
        if (username == null) {
            // 虽然有会话对象, 但是里面没有必要的属性, 也认为是登录状态异常.
            resp.setContentType("text/html; charset=utf8");
            resp.getWriter().write("当前用户未登录!");
            return;
        }

        // 如果上述检查都通过, 接下来就直接生成一个动态页面
        resp.setContentType("text/html; charset=utf8");
        resp.getWriter().write("欢迎你! " + username);
    }
}

下面是抓包的结果

初次登录时创建会话,把 Session ID 以 Set-Cookie 的方式返回给客户端。

访问主页时请求中携带 Session ID:

这里需要 注意 的是:上述的 Session ID 不会一直保存在服务端,因为服务器默认是把会话保存在内存中的,一但服务器重启,原有的会话就会销毁。


但是 Smart Tomcat 为了方便程序员调试,会在服务器停止的时候,将会话持久化保存,并在下次启动的时候将会话恢复到内存中。


相关文章
解决开启子线程,导致request上下文和session信息丢失问题
解决开启子线程,导致request上下文和session信息丢失问题
1132 0
|
存储
13JavaWeb基础 - Session技术
13JavaWeb基础 - Session技术
37 0
Session的工作机制
Session的工作机制
88 0
|
缓存 负载均衡 Java
代理和 Session 机制|学习笔记
快速学习代理和 Session 机制
代理和 Session 机制|学习笔记
|
存储 负载均衡 安全
|
缓存 Java 应用服务中间件
|
缓存 负载均衡 Java
|
存储 安全 Java
|
存储 开发框架 .NET
Cookie和Session的作用,区别和各自的应用范围,Session工作原理
Cookie和Session的作用,区别和各自的应用范围,Session工作原理
312 0
下一篇
DataWorks