由于項目需要,最近用session容器比較多,傳載的同時加上了自己的一些理解,不足之處還請大家補充和糾正。
一、cookie機制和session機制的區(qū)別
*************************************************************************************
Cookie是客戶端的存儲空間,由瀏覽器來維持。具體來說cookie機制采用的是在客戶端保持狀態(tài)的方案,而session機制采用的是在服務(wù)器端保持狀態(tài)的方案。同時我們也看到,由于才服務(wù)器端保持狀態(tài)的方案在客戶端也需要保存一個標(biāo)識,所以session機制可能需要借助于cookie機制來達到保存標(biāo)識的目的,但實際上還有其他選擇,比如說重寫URL和隱藏表單域。
*************************************************************************************
二、會話cookie和持久cookie的區(qū)別
*************************************************************************************
如果不設(shè)置過期時間,則表示這個cookie生命周期為瀏覽器會話期間,只要關(guān)閉瀏覽器窗口,cookie就消失了。這種生命期為瀏覽會話期的cookie被稱為會話cookie。會話cookie一般不保存在硬盤上而是保存在內(nèi)存里。
如果設(shè)置了過期時間(setMaxAge(60*60*24)),瀏覽器就會把cookie保存到硬盤上,關(guān)閉后再次打開瀏覽器,這些cookie依然有效直到超過設(shè)定的過期時間。存儲在硬盤上的cookie可以在不同的瀏覽器進程間共享,比如兩個IE窗口。而對于保存在內(nèi)存的cookie,不同的瀏覽器有不同的處理方式。(在IE下測試通過)
*************************************************************************************
三、如何利用實現(xiàn)自動登錄
*************************************************************************************
當(dāng)用戶在某個網(wǎng)站注冊后,就會收到一個惟一用戶ID的cookie。客戶后來重新連接時,這個用戶ID會自動返回,服務(wù)器對它進行檢查,確定它是否為注冊用戶且選擇了自動登錄,從而使用戶務(wù)需給出明確的用戶名和密碼,就可以訪問服務(wù)器上的資源。
*************************************************************************************
四、如何根據(jù)用戶的愛好定制站點
*************************************************************************************
網(wǎng)站可以使用cookie記錄用戶的意愿。對于簡單的設(shè)置,網(wǎng)站可以直接將頁面的設(shè)置存儲在cookie中完成定制。然而對于更復(fù)雜的定制,網(wǎng)站只需僅將一個惟一的標(biāo)識符發(fā)送給用戶,由服務(wù)器端的數(shù)據(jù)庫存儲每個標(biāo)識符對應(yīng)的頁面設(shè)置。
*************************************************************************************
五、cookie的發(fā)送
*************************************************************************************
1.創(chuàng)建Cookie對象
2.設(shè)置最大時效
3.將Cookie放入到HTTP響應(yīng)報頭
如果你創(chuàng)建了一個cookie,并將他發(fā)送到瀏覽器,默認情況下它是一個會話級別的cookie:存儲在瀏覽器的內(nèi)存中(服務(wù)器自動創(chuàng)建一個cookie并將jsessionId作為key,sessionId的值作為value發(fā)送到客戶端瀏覽器內(nèi)存中),用戶退出瀏覽器之后被刪除。如果你希望瀏覽器將該cookie存儲在磁盤上,則需要使用maxAge,并給出一個以秒為單位的時間。將最大時效設(shè)為0則是命令瀏覽器刪除該cookie。發(fā)送cookie需要使用HttpServletResponse的addCookie方法,將cookie插入到一個Set-Cookie HTTP請求報頭中。由于這個方法并不修改任何之前指定的Set-Cookie報頭,而是創(chuàng)建新的報頭,因此我們將這個方法稱為是addCookie,而非setCookie。同樣要記住響應(yīng)報頭必須在任何文檔內(nèi)容發(fā)送到客戶端之前設(shè)置。
*************************************************************************************
六、cookie的讀取
*************************************************************************************
1.調(diào)用request.getCookie
要獲取有瀏覽器發(fā)送來的cookie,需要調(diào)用HttpServletRequest的getCookies方法,這個調(diào)用返回Cookie對象的數(shù)組,對應(yīng)由HTTP請求中Cookie報頭輸入的值。
2.對數(shù)組進行循環(huán),調(diào)用每個cookie的getName方法,直到找到感興趣的cookie為止,cookie與你的主機(域)相關(guān),而非你的servlet或JSP頁面。因而,盡管你的servlet可能只發(fā)送了單個cookie,你也可能會得到許多不相關(guān)的cookie。
例如:(login.jsp頁面cookie實現(xiàn)用戶名userName填寫)
login.jsp:
<%
String username = "";
//從客戶端讀取硬盤中的cookie文件
Cookie[] cookies = request.getCookies();
if(cookies == null)
{
username = "";
}
else{
for (int i = 0; i < cookies.length; i++){
if ("USERNAME".equalsIgnoreCase(cookies[i].getName())){
username = cookies[i].getValue();
}
}
%>
<form name="login" method="post" action="login.do">
<td width="100%" bgcolor="#CCCCCC" colspan="2">
<p align="left">用戶名<br>
<input type="text" name="username" value= "<%=username%>">
</p>
<p align="left">密 碼 <br>
<input type="password" name="password">
</p>
<p align="left">
<input type="submit" name="Submit" value="確定">
<input name="reset" type="reset" value="取消">
</p>
</form>
LoginAction:
//將正確userName放入c1對象,并用"USERNAME"做key標(biāo)識
Cookie c1= new Cookie("USERNAME",logindto.getUsername());
//如果不設(shè)置時間,則cookie為會話cookie,不寫入客戶端硬盤
c1.setMaxAge(60*60*24);
response.addCookie(c1);
*************************************************************************************
七、如何使用cookie檢測初訪者
*************************************************************************************
A.調(diào)用HttpServletRequest.getCookies()獲取Cookie數(shù)組
B.在循環(huán)中檢索指定名字的cookie是否存在以及對應(yīng)的值是否正確
C.如果是則退出循環(huán)并設(shè)置區(qū)別標(biāo)識
D.根據(jù)區(qū)別標(biāo)識判斷用戶是否為初訪者從而進行不同的操作
*************************************************************************************
八、使用cookie檢測初訪者的常見錯誤
*************************************************************************************
不能僅僅因為cookie數(shù)組中不存在在特定的數(shù)據(jù)項就認為用戶是個初訪者。如果cookie數(shù)組為null,客戶可能是一個初訪者,也可能是由于用戶將cookie刪除或禁用造成的結(jié)果。但是,如果數(shù)組非null,也不過是顯示客戶曾經(jīng)到過你的網(wǎng)站或域,并不能說明他們曾經(jīng)訪問過你的servlet。其它servlet、JSP頁面以及非Java Web應(yīng)用都可以設(shè)置cookie,依據(jù)路徑的設(shè)置,其中的任何cookie都有可能返回給用戶的瀏覽器。
正確的做法是判斷cookie數(shù)組是否為空且是否存在指定的Cookie對象且值正確。
*************************************************************************************
九、使用cookie屬性的注意問題
*************************************************************************************
屬性是從服務(wù)器發(fā)送到瀏覽器的報頭的一部分;但它們不屬于由瀏覽器返回給服務(wù)器的報頭。
因此除了名稱和值之外,cookie屬性只適用于從服務(wù)器輸出到客戶端的cookie;服務(wù)器端來自于瀏覽器的cookie并沒有設(shè)置這些屬性。因而不要期望通過request.getCookies得到的cookie中可以使用這個屬性。這意味著,你不能僅僅通過設(shè)置cookie的最大時效,發(fā)出它,在隨后的輸入數(shù)組中查找適當(dāng)?shù)腸ookie,讀取它的值,修改它并將它存Cookie,從而實現(xiàn)不斷改變的cookie值。
*************************************************************************************
十、如何使用cookie記錄各個用戶的訪問計數(shù)
*************************************************************************************
1.獲取cookie數(shù)組中專門用于統(tǒng)計用戶訪問次數(shù)的cookie的值
2.將值轉(zhuǎn)換成int型
3.將值加1并用原來的名稱重新創(chuàng)建一個Cookie對象
4.重新設(shè)置最大時效
5.將新的cookie輸出
*************************************************************************************
十一、session在不同環(huán)境下的不同含義
*************************************************************************************
session,中文經(jīng)常翻譯為會話,其本來的含義是指有始有終的一系列動作/消息,比如打電話是從拿起電話撥號到掛斷電話這中間的一系列過程可以稱之為一個session。然而當(dāng)session一詞與網(wǎng)絡(luò)協(xié)議相關(guān)聯(lián)時,它又往往隱含了“面向連接”和/或“保持狀態(tài)”這樣兩個含義。
session在Web開發(fā)環(huán)境下的語義又有了新的擴展,它的含義是指一類用來在客戶端與服務(wù)器端之間保持狀態(tài)的解決方案。有時候Session也用來指這種解決方案的存儲結(jié)構(gòu)。
*************************************************************************************
十二、session的機制
*************************************************************************************
session機制是一種服務(wù)器端的機制,服務(wù)器使用一種類似于散列表的結(jié)構(gòu)(也可能就是使用散列表)來保存息。
但程序需要為某個客戶端的請求創(chuàng)建一個session的時候,服務(wù)器首先檢查這個客戶端的請求里是否包含了一個session標(biāo)識-稱為session id,如果已經(jīng)包含一個session id則說明以前已經(jīng)為此客戶創(chuàng)建過session,服務(wù)器就按照session id把這個session檢索出來使用(如果檢索不到,可能會新建一個,這種情況可能出現(xiàn)在服務(wù)端已經(jīng)刪除了該用戶對應(yīng)的session對象,但用戶人為地在請求的URL后面附加上一個JSESSION的參數(shù))。如果客戶請求不包含session id,則為此客戶創(chuàng)建一個session并且同時生成一個與此session相關(guān)聯(lián)的session id,這個session id將在本次響應(yīng)中返回給客戶端保存。
*************************************************************************************
十三、保存session id的幾種方式
*************************************************************************************
A.保存session id的方式可以采用cookie,這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標(biāo)識發(fā)送給服務(wù)器。
B.由于cookie可以被人為的禁止,必須有其它的機制以便在cookie被禁止時仍然能夠把session id傳遞回服務(wù)器,經(jīng)常采用的一種技術(shù)叫做URL重寫,就是把session id附加在URL路徑的后面,附加的方式也有兩種,一種是作為URL路徑的附加信息,另一種是作為查詢字符串附加在URL后面。網(wǎng)絡(luò)在整個交互過程中始終保持狀態(tài),就必須在每個客戶端可能請求的路徑后面都包含這個session id。如果客戶端Cookie禁用,則服務(wù)器可以自動通過重寫URL的方式來保存Session的值,并且這個過程對程序員透明。(IE6.0除外)
C.另一種技術(shù)叫做表單隱藏字段。就是服務(wù)器會自動修改表單,添加一個隱藏字段,以便在表單提交時能夠把session id傳遞回服務(wù)器。
*************************************************************************************
十四、session什么時候被創(chuàng)建
*************************************************************************************
一個常見的誤解是以為session在有客戶端訪問時就被創(chuàng)建,然而事實是直到某server端程序調(diào)用HttpServletRequest.getSession(true)這樣的語句時才被創(chuàng)建。
注意如果JSP沒有顯示的使用 <% @page session="false"%> 關(guān)閉session,則JSP文件在編譯成Servlet時將會自動加上這樣一條語句 HttpSession session = HttpServletRequest.getSession(true);這也是JSP中隱含的session對象的來歷。
由于session會消耗內(nèi)存資源,因此,如果不打算使用session,應(yīng)該在所有的JSP中關(guān)閉它。
*************************************************************************************
十五、session何時被刪除
*************************************************************************************
session在下列情況下被刪除:
A.程序調(diào)用HttpSession.invalidate()
B.距離上一次收到客戶端發(fā)送的session id時間間隔超過了session的最大有效時間
C.服務(wù)器進程被停止
再次注意關(guān)閉瀏覽器只會使存儲在客戶端瀏覽器內(nèi)存中的session cookie失效,不會使服務(wù)器端的session對象失效,除非此時Server端剛好session失效時間到了。
*************************************************************************************
十六、URL重寫有什么缺點
*************************************************************************************
對所有的URL使用URL重寫,包括超鏈接,form的action,和重定向的URL。每個引用你的站點的URL,以及那些返回給用戶的URL(即使通過間接手段,比如服務(wù)器重定向中的Location字段)都要添加額外的信息。
這意味著在你的站點上不能有任何靜態(tài)的HTML頁面(至少靜態(tài)頁面中不能有任何鏈接到站點動態(tài)頁面的鏈接)。因此,每個頁面都必須使用servlet或JSP動態(tài)生成。即使所有的頁面都動態(tài)生成,如果用戶離開了會話并通過書簽或鏈接再次回來,會話的信息都會丟失,因為存儲下來的鏈接含有錯誤的標(biāo)識信息-該URL后面的SESSION ID已經(jīng)過期了。
*************************************************************************************
十七、使用隱藏的表單域有什么缺點
*************************************************************************************
僅當(dāng)每個頁面都是有表單提交而動態(tài)生成時,才能使用這種方法。單擊常規(guī)的<A HREF..>超文本鏈接并不產(chǎn)生表單提交,因此隱藏的表單域不能支持通常的會話跟蹤,只能用于一系列特定的操作中,比如在線商店的結(jié)賬過程。
*************************************************************************************
十八、會話跟蹤的基本步驟
*************************************************************************************
1.訪問與當(dāng)前請求相關(guān)的會話對象
2.查找與會話相關(guān)的信息
3.存儲會話信息
4.廢棄會話數(shù)據(jù)
*************************************************************************************
十九、getSession()/getSession(true)、getSession(false)的區(qū)別
*************************************************************************************
getSession()/getSession(true):當(dāng)session存在時返回該session,否則新建一個session并返回該對象
getSession(false):當(dāng)session存在時返回該session,否則不會新建session,返回null。
*************************************************************************************
二十、如何將信息于會話關(guān)聯(lián)起來
*************************************************************************************
setAttribute方法會替換上次setAttribute中設(shè)定的值;如果想要在不提供任何代替的情況下移除某個值,則應(yīng)使用removeAttribute。這個方法會觸發(fā)所有實現(xiàn)了HttpSessionBindingListener接口的值的valueUnbound方法。
*************************************************************************************
二十一、會話屬性的類型有什么限制嗎
*************************************************************************************
通常會話屬性的類型只要是Object就可以了。除了null或基本類型,如int,double,boolean。如果要使用基本類型的值作為屬性,必須將其轉(zhuǎn)換為相應(yīng)的封裝類對象。
*************************************************************************************
二十二、如何廢棄會話數(shù)據(jù)
*************************************************************************************
A.只移除自己編寫的servlet創(chuàng)建的數(shù)據(jù):
調(diào)用removeAttribute(“key”)將指定鍵關(guān)聯(lián)的值廢棄
B.刪除整個會話(在當(dāng)前Web應(yīng)用中):
調(diào)用invalidate,將整個會話廢棄掉。這樣做會丟失該用戶的所有會話數(shù)據(jù),而非僅僅由我們servlet或JSP頁面創(chuàng)建的會話數(shù)據(jù)
C.將用戶從系統(tǒng)中注銷并刪除所有屬于他(或她)的會話
調(diào)用logOut,將客戶從Web服務(wù)器中注銷,同時廢棄所有與該用戶相關(guān)聯(lián)的會話(每個Web應(yīng)用至多一個)。這個操作有可能影響到服務(wù)器上多個不同的Web應(yīng)用。
*************************************************************************************
二十三、使用isNew來判斷用戶是否為新舊用戶的錯誤做法
*************************************************************************************
public boolean isNew()方法如果會話尚未和客戶程序(瀏覽器)發(fā)生任何聯(lián)系,即服務(wù)器端程序還沒有返回客戶端時,則這個方法返回true,這一般是因為會話是新建的,不是由輸入的客戶請求所引起的。但如果isNew返回false,只不過是說明他之前曾經(jīng)訪問Web應(yīng)用,并不代表他們曾訪問過我們的servlet或JSP頁面。
因為session是與用戶相關(guān)的,在用戶之前訪問的每一個頁面都有可能創(chuàng)建了會話。因此isNew為false只能說用戶之前訪問過該Web應(yīng)用,session可以是當(dāng)前頁面創(chuàng)建,也可能是由用戶之前訪問過的頁面創(chuàng)建的。正確的做法是判斷某個session中是否存在某個特定的key且其value是否正確。(待測試)
*************************************************************************************
二十四、Cookie的過期和Session的超時有什么區(qū)別
*************************************************************************************
會話的超時由服務(wù)器來維護,它不同于Cookie的失效日期。
首先,會話一般基于駐留內(nèi)存的cookie不是持續(xù)性的cookie,因而也就沒有截至日期。即使截取到JSESSIONID cookie,并為它設(shè)定一個失效日期發(fā)送出去。瀏覽器會話和服務(wù)器會話也會截然不同。
*************************************************************************************
二十五、session cookie和session對象的生命周期是一樣的嗎
*************************************************************************************
當(dāng)用戶關(guān)閉了瀏覽器雖然session cookie已經(jīng)消失,但session對象仍然保存在服務(wù)器端,直到其失效時間。
*************************************************************************************
二十六、是否只要關(guān)閉瀏覽器,session就消失了
*************************************************************************************
程序一般都是在用戶做log off的時候發(fā)個指令去刪除session,然而瀏覽器從來不會主動在關(guān)閉之前通知服務(wù)器它將要被關(guān)閉,因此服務(wù)器根本不會有機會知道瀏覽器已經(jīng)關(guān)閉。服務(wù)器會一直保留這個會話對象直到它處于非活動狀態(tài)超過設(shè)定的間隔為止。
之所以會有這種錯誤的認識,是因為大部分session機制都使用會話cookie來保存session id,而關(guān)閉瀏覽器后這個session id就消失了,再次連接到服務(wù)器時也就無法找到原來的session。如果服務(wù)器設(shè)置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發(fā)出的HTTP請求報頭,把原來的session id發(fā)送到服務(wù)器,則再次打開瀏覽器仍然能夠找到原來的session。恰恰是由于關(guān)閉瀏覽器不會導(dǎo)致session被刪除,迫使服務(wù)器為session設(shè)置了一個失效時間,當(dāng)距離客戶上一次使用session的時間超過了這個失效時間時,服務(wù)器就可以認為客戶端已經(jīng)停止了活動,才會把session刪除以節(jié)省存儲空間。
由此我們可以得出如下結(jié)論:
關(guān)閉瀏覽器,只會是瀏覽器端內(nèi)存里的session cookie消失,但不會使保存在服務(wù)器端的session對象消失,同樣也不會使已經(jīng)保存到硬盤上的持久化cookie消失。
補充:那如何做到在瀏覽器關(guān)閉時刪除session呢 ?
嚴格的講,做不到這一點。可以做一點努力的辦法是在所有的客戶端頁面里使用javascript代碼window.oncolose來監(jiān)視瀏覽器的關(guān)閉動作,然后向服務(wù)器發(fā)送一個請求來刪除session。但是對于瀏覽器崩潰或者強行殺死進程這些非常規(guī)手段仍然無能為力。
*************************************************************************************
二十七、打開兩個瀏覽器窗口訪問應(yīng)用程序會使用同一個session還是不同的session
*************************************************************************************
通常session cookie是不能跨窗口使用的,當(dāng)你新開了一個新的瀏覽器窗口進入相同頁面時,系統(tǒng)會賦予你一個新的session id,這樣我們信息共享的目的就達不到了。對session來說是只認id不認人,因此不同的瀏覽器,不同的窗口打開方式以及不同的cookie存儲方式(如會話cookie和持久cookie)都會對這個問題的答案有影響。
(在IE下測試,打開兩個瀏覽器(不是新建窗口,是直接啟動兩次瀏覽器),得到的SessionID也是不一樣)
要實現(xiàn)跨窗口的會話跟蹤,我們可以先把session id保存在persistent cookie中(通過設(shè)置session的最大有效時間),然后在新窗口中讀出來,就可以得到上一個窗口的session id了,這樣通過session cookie和persistent cookie的結(jié)合我們就可以實現(xiàn)了跨窗口的會話跟蹤。(待測試)
*************************************************************************************
二十八、如何使用會話顯示每個客戶的訪問次數(shù)
*************************************************************************************
由于客戶的訪問次數(shù)是一個整型的變量,但session的屬性類型中不能使用int,double,boolean等基本類型的變量,所以我們要用到這些基本類型的封裝類型對象作為session對象中屬性的值.
但像Integer是一種不可修改(Immutable)的數(shù)據(jù)結(jié)構(gòu):構(gòu)建后就不能更改。這意味著每個請求都必須創(chuàng)建新的Integer對象,之后使用setAttribute來覆蓋之前存在的老的屬性的值。例如:
Integer value = (Integer)request.getSession().getAttribute("cout");
if (value == null){
value = new CountClass(…); // 新創(chuàng)建一個不可更改對象
}else{
value = new CountClass(calculated(value)); // 對value重新計算后創(chuàng)建新的對象
}
request.getSession().setAttribute("cout",value);// 使用新創(chuàng)建的對象覆蓋原來的老的對象
*************************************************************************************
二十九、如何使用會話累計用戶的數(shù)據(jù)
*************************************************************************************
使用可變的數(shù)據(jù)結(jié)構(gòu),比如數(shù)組、List、Map或含有可寫字段的應(yīng)用程序?qū)S械臄?shù)據(jù)結(jié)構(gòu)。通過這種方式,除非首次分配對象,否則不需要調(diào)用setAttribute。例如:
List list_check = (List) request.getSession().getAttribute("ids_go");
if(list_check = = null){
list_check = new List();
request.getSession().setAttribute(("ids_go",list_check );
}else{
list_check .clear();// 如果已經(jīng)存在該對象則更新其屬性而不需重新設(shè)置屬性
}
List list_check1 = (List) request.getSession().getAttribute("ids_go");
System.out.println(list_check1.size());//此時size為0
*************************************************************************************
三十、不可更改對象和可更改對象在會話數(shù)據(jù)更新時的不同處理
*************************************************************************************
不可更改對象因為一旦創(chuàng)建之后就不能更改,所以每次要修改會話中屬性的值的時候,都需要調(diào)用setAttribute(“someIdentifier”,newValue)來代替原有的屬性的值,否則屬性的值不會被更新。
可更改對象因為其自身一般提供了修改自身屬性的方法,所以每次要修改會話中屬性的值的時候,只要調(diào)用該可更改對象的相關(guān)修改自身屬性的方法就可以了,這意味著我們就不需要調(diào)用setAttribute方法了。
總結(jié)
session機制本身并不復(fù)雜,然而其實現(xiàn)和配置上的靈活性卻使得具體情況復(fù)雜多變。這也要求我們不能把僅僅某一次的經(jīng)驗或者某一個瀏覽器,服務(wù)器的經(jīng)驗當(dāng)作普遍適用的。
posted on 2007-05-26 13:45
cheng 閱讀(40883)
評論(30) 編輯 收藏 所屬分類:
JSP/Servlet