在难也要学完《深入分析的Java Web》的深入理解Session与Cookie,断断续续花了三四天的时间在学习这块内容,好难啊,但还是得逼自己学完,不想一直掉坑里
记录一下学习内容,这样哪天忘记了又能重新拾起来
(一)浅入部分:方法使用介绍
1.Session创建的时间:客户端第一次请求服务器的时候创建的。
通过request.getSession()可以获得对应的session对象(返回类型为HttpSession),不存在将返回null。调用request.getSession(true),如果该客户的session不存在,将先创建session对象,在返回session。
测试代码:SessionTest.java
public class SessionTest extends HttpServlet {
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
HttpSession session = request.getSession();
String id = session.getId();
System.out.println("session_id: " + id);
}
}
运行结果:
session_id: BE37D76B19597F991999F482A0A6F9BD
说明在客户端第一次请求时就创建了session对象,并且这个过程对我们来说是透明的。
注:获取session时只需调用getSession()方法就可以了,不需要指定是哪个客户端的session。session的机制决定了当前客户只会获得自己的session,而不会获得别人的session。各客户的session互相独立、互不可见
2.session的生命周期
tomcat8中默认session的生命周期为30min
<!-- ==================== Default Session Configuration ================= -->
<!-- You can set the default session timeout (in minutes) for all newly -->
<!-- created sessions by modifying the value below. -->
<session-config>
<session-timeout>30</session-timeout>
</session-config>
session的生命周期没有cookie长是有原因的,cookie保存在浏览器中一般是永久的。session就不一样了,为了获得更高的缓存速度,服务器一般把session保存在内存中,但是,如果网站是高并发的,并且session保存的内容很多,就会造成内存溢出,所以需要定期清除那些不常用的session,通过设置一个时间,时间不可以太长,超时清理,缓减内存压力。如果自己需要更改sessiond的生命周期,有两种方式可以修改
1)tomcat web.xml文件中进行修改
2)调用setMaxInactiveInterval(int i)方法进行修改
注意web.xml中时间的单位为小时,setMaxInactiveInterval(int i)方法中时间的单位为秒
3.session对浏览器的要求
session需要依赖cookie,服务器生成session时会生成一个name为jsessionid的cookie,值为session的id(即HttpSession.getId()的返回值),session通过cookie来识别是否为同一个用户。服务器自动生成的cookie,maxAge属性一般为-1,仅在当前浏览器内的当前窗口有效,关闭浏览器就会失效。如果浏览器禁用cookie或不支持cookie,就需要使用url地址重写 。
url地址重写原理:将该用户的session的id信息重写到url地址中。服务器能够解析重写后的url获取session的id。这样就可以不需要使用cookie记录session的id了。
测试代码:SessionTest.java
public class SessionTest extends HttpServlet {
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
System.out.println("进入SessionTest方法体内");
HttpSession session = request.getSession();
String id = session.getId();
System.out.println("session_id: " + id);
Cookie[] cookies = request.getCookies();
System.out.println("size: " + cookies.length);
if (cookies.length != 0) {
for (Cookie c : cookies) {
System.out.println("name: " + c.getName() + " value: " + c.getValue());
}
}
// response.sendRedirect("/cookie_message");
}
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
}
运行结果:
进入SessionTest方法体内
session_id: 5748CB766C7130F80F259E72A5637920
进入SessionTest方法体内
session_id: 5748CB766C7130F80F259E72A5637920
size: 1
name: JSESSIONID value: 5748CB766C7130F80F259E72A5637920
先清理一下浏览器缓存,第一次进入方法体时会报500空指针异常
报空指针异常的原因是此时request.getCookies()没有结果,第二次继续调用方法时才成功,从结果中看出确实生成一个name为JSESSIONID ,值为session id的cookie。
思考了一下出错原因:客户端第一次请求服务器时生成一个session,同时生成了一个cookie,但这次生成的cookie要通过服务器的响应以后才能返回给客户端,所以第一次取不到想要的cookie。
禁用cookie后,因为在tomcat配置文件中禁用cookie没有效果,直接禁用了浏览器
原来的程序运行结果:
进入SessionTest方法体内
session_id: 39385CEDA231B7DDBC1A42C9BBB6EC92
进入SessionTest方法体内
session_id: 31E06944B9086767087BCF32E9A5D273
进入SessionTest方法体内
session_id: A796BD79458635C4C117198B09C9269C
进入SessionTest方法体内
session_id: 31D60D8791F88E7D28E567A085D3BFCC
一直报500空指针的错误,也就是说明没有cookie
那就使用url重写
修改一下上面的代码:
public class SessionTest extends HttpServlet {
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
System.out.println("进入SessionTest方法体内");
HttpSession session = request.getSession();
String id = session.getId();
System.out.println("session_id: " + id);
response.sendRedirect(response.encodeRedirectURL("/cookie_message"));
}
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
}
url地址栏变为了:
http://localhost:8080/cookie_message;jsessionid=D4BCA30FE7A2E44D615DBFE04A4016A4
运行结果:
进入SessionTest方法体内
session_id: D4BCA30FE7A2E44D615DBFE04A4016A4
说明url重定向成功了,这样服务器可以通过url来获得session id了
(二)深出部分:session底层是如何工作的
4.session工作机制
当客户端和服务器建立连接时会创建一个session,创建session对象的过程大致是这样的:
1)解析url,url中是否有session id(一般可以解析的url是重写后的url,像这样,http://localhost:8080/cookie_message;jsessionid=D4BCA30FE7A2E44D615DBFE04A4016A4,id则为jsessionid)
2)如果浏览器是支持cookie的,则从cookie中拿到session id,并覆盖之前的session id(即url重写中的session id)
所以客户端支持cookie,tomcat仍然会解析cookie中的session id,然后覆盖url中的session id
3)根据session id在manager类的session容器中查找是否存在这个id的session对象
4)如果步骤3)中查找不到这个对象,则创建这个id的session对象
5)将这个session对象添加到session容器中
6)根据这个id新增一个cookie,并将这个cookie设置到http协议头中
7)通过调用request.getSession()可以获得该对象。它的底层是通过requestedSessionId从StandardManager(Manager的实现类)的sessions集合中(就是之前说的容器)获取对应客户的HttpSession对象
5)管理session对象的StandardManager类介绍
StandardManager类负责Servlet容器中所有session对象生命周期的管理。当tomcat重启或关闭时,StandardManager通过序列化(调用unload方法)将没有过期的session对象持久化到SESSIONS.ser文件中,当tomcat重启时,即StandardManager初始化时,会重新读取这个文件,解析出所有的session对象保存到StandardManager的session集合中。注意:在重启读取SESSIONS.ser文件时,会在一次进行检查session是否过期,过期就不在加载到sessions集合中了 。不正常的关闭tomcat服务器也有可能不会对session进行持久化,因为调用不到unload方法
SESSIONS.ser这个文件有点难找,最后选择以搜索的方式查找到了这类文件
6)session过期清理
检查session是否过期是tomcat中的一个后台线程完成的(backgroundProcess()方法),如果过期了,则将设置Session.expire(true),否则保留session。过期了的session对象不是立刻就被清理的,tomcat使用一个1分钟的定时任务定时清除当前超时session对象,所以清除超时的session对象有一个小于1分钟的延时,在处理过期问题上,redis清理过期键的机制和它类似。如果此时expire=true,但是定时任务时间没有到,客户端发送request.getSession()请求,则这个session对象将会被立刻清理掉,不会等定时任务来清理,并创建一个新的session对象来响应客户端的请求
2017年最后一篇文章
继续沉淀自己。酒越久越醇厚
