一、Session 会话机制原理
Session(会话)机制是一种在 Web 应用程序中用来跟踪用户状态的技术。它通过在服务器端存储和管理用户信息,为每个用户分配一个唯一的会话标识符(Session ID/Token),并将该标识符传递给客户端浏览器,在后续的请求中使用该标识符来关联用户与其数据。
在《HTTP协议》章节中介绍了Cookie是客户端在本地存储数据的一种机制。而Cookie的一种典型应用场景就是保存用户的身份标识,在这种场景下,对于身份标识的分配、存储就需要使用到了Session机制。
通常Session机制是和Cookie机制配合使用的,它的工作原理大体如下:
(1)客户端发送第一个请求到服务器。服务器接收到请求后,为该客户端创建一个唯一的会话标识符(Session ID),通常是一个长随机字符串。同时,创建一个对应的 Session 对象用来存储和管理会话信息。并将 Session ID 作为 Key,Session 对象作为 Value 存储在服务端的一个“哈希表”中。
(2)服务器使用Cookie机制,以响应头 Set-Cookie 方式,将创建的 Session ID 返回给客户端。
(3)客户端在后续的请求中,将会话标识符 Session ID 作为参数传递给服务器。服务器根据会话标识 Session ID 符找到对应的 Session 对象,从中获取和更新会话数据。
二、Servlet 中的 Session机制
在Servlet中针对Session也提供了一些方法上的支持:
1、HttpServletRequest 类提供的方法
| 方法 | 描述 |
| HttpSession getSession() | 在服务器中获取会话。如果参数为 true,当不存在会话时新建会话;如果参数为 false,当不存在会话时返回 null。 |
调用这个方法会做 3 件事:
- 读取请求中Cookie里面的Session ID。
- 在服务器端根据Session ID查询Session对象。
- 根据传递参数处理查询结果:
(1)getSession中有一个Boolean类型的参数,如果参数为 true,查到就直接返回对应的Session对象;如果没查到,会创建一个Session会话,同时将新生成的Session ID、和Session对象分别作为Key、Value存储到服务器端的“哈希表”中,同时会把Session ID以Set-Cookie的方式返回给客户端。
(2)如果参数为false,查到直接返回对应Session对象;如果没查到返回null。
2、HttpSession 类常用方法
一个 Session 对象里面包含多个键值对,可以认为Session对象也是一个哈希表:
| 方法 | 描述 |
| Object getAttribute(String name) | 该方法返回在该 session 会话中具有指定名称的对象,如果没有指定名称的对象,则返回 null。 |
| void setAttribute(String name, Object value) | 该方法使用指定的名称绑定一个对象到该 session 会话。 |
| removeAttribute(String name) | 从会话中移除指定名称的属性。 |
| invalidate() | 使当前会话无效,删除会话中的所有属性。 |
| boolean isNew() | 判定当前是否是新创建出的会话。 |
三、模拟实现登录功能
上述的Session机制常常用于登录场景,下面就使用Session机制实现一个简单的登录逻辑:
1、登录的前端代码
使用form表单提交数据,默认以application/x-www-form-urlencoded格式提交给服务器,之后可以通过 getParameter获取到指定的value。
<form action="login" method="post"> <input type="text" name="username"> <input type="password" name="password"> <input type="submit" value="提交"> </form>
2、使用 Servlet 完成登录的校验
// 这个类用来实现登录时的校验. @WebServlet("/login") public class LoginServlet extends HttpServlet { @Override protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 1. 先从请求中拿到用户名和密码. // 为了保证读出来的参数也能支持中文, 设置请求的编码方式是 utf8 req.setCharacterEncoding("utf8"); String username = req.getParameter("username"); String password = req.getParameter("password"); // 2. 验证用户名密码是否正确 if (username == null || password == null || username.equals("") || password.equals("")) { resp.setContentType("text/html; charset=utf8"); resp.getWriter().write("当前输入的用户名或密码不能为空!"); return; } // 此处假定用户名只能是 lihua 密码都是 123456 // 正常的登录逻辑, 验证用户名密码都是从数据库读取的. if (!username.equals("lihua") || !password.equals("123")) { // 用户名或密码错误 resp.setContentType("text/html; charset=utf8"); resp.getWriter().write("用户名或密码有误"); return; } // 3. 用户名和密码验证成功, 接下来就创建一个会话: // 当前用户处于未登录的状态, 此时请求的 cookie 中没有 sessionId // 此处的 getSession 是无法从服务器的 哈希表 中找到该 session 对象的. // 由于此处把参数设为 true 了, 所以就允许 getSession 在查询不到的时候, // 创建新的 session 对象和 sessionId, // 并且会自动的把这个 sessionId 和 session 对象存储的 哈希表 中. // 同时返回这个 session 对象, 并且在接下来的响应中会自动把这个 sessionId 返回给客户端浏览器. HttpSession session = req.getSession(true); // 接下来可以让刚刚创建好的 session 对象存储我们的自定义的数据 session.setAttribute("username", username); // 4. 登录成功之后, 自动跳转到 主页 resp.sendRedirect("index"); } }
3、使用 Servlet 生成简单的主页面
// 这个 Servlet 用来动态的生成主页面. @WebServlet("/index") public class IndexServlet extends HttpServlet { @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 此处参数设置为false,禁止创建会话. 如果没找到, 认为用户是未登录的状态!! HttpSession session = req.getSession(false); if (session == null) { // 未登录状态 resp.setContentType("text/html; charset=utf8"); resp.getWriter().write("当前用户未登录!"); return; } // 如果找到了才认为是登录状态,接下来验证session对象中的信息 String username = (String) session.getAttribute("username"); if (username == null) { // 虽然有会话对象, 但是里面没有必要的属性, 也认为是登录状态异常. resp.setContentType("text/html; charset=utf8"); resp.getWriter().write("当前用户未登录!"); return; } // 如果上述检查都通过, 接下来就直接生成一个动态页面 resp.setContentType("text/html; charset=utf8"); resp.getWriter().write("欢迎你! " + username); } }
下面是抓包的结果
初次登录时创建会话,把 Session ID 以 Set-Cookie 的方式返回给客户端。
访问主页时请求中携带 Session ID:
这里需要 注意 的是:上述的 Session ID 不会一直保存在服务端,因为服务器默认是把会话保存在内存中的,一但服务器重启,原有的会话就会销毁。
但是 Smart Tomcat 为了方便程序员调试,会在服务器停止的时候,将会话持久化保存,并在下次启动的时候将会话恢复到内存中。
