JavaWeb学习总结第六篇--认识Session机制

认识Session机制

前文也提到过，常用的会话跟踪有两种技术：Cookie和Session。今天就为大家讲解一下Session机制。

什么是Session？

Session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而Session保存在服务器上。客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是Session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。

实现用户登录

Session对应的类为javax.servlet.http.HttpSession类。每个来访者对应一个Session对象，所有该客户的状态信息都保存在这个Session对象里。Session对象是在客户端第一次请求服务器的时候创建的。Session也是一个key-value属性对，通过getAttribute（String key）和setAttribute（String key,Object value）方法读写客户状态信息。

Session的生命周期

Session保存在服务器端，为了获得更高的存取速度，服务器一般把Session保存在内存里。需要注意的是只有访问jsp、Servlet等程序时才会创建Session，访问HTML、IMAGE等静态资源时并不会创建Session。Session生成后，只要用户继续访问，服务器就会更新Session的最后访问时间，并维护该Session。

由于会有越来越多的用户访问服务器，因此Session也会越来越多。为防止内存溢出，服务器会把长时间没有活跃的用户的Session从内存里删除。这个时间就是Session的超时时间。如果超过了超时时间没访问服务器，Session就自动失效了。

Session的超时时间为maxInactiveInterval属性，可以通过对应的getMaxInactiveInterval（）获取，通过setMaxInactiveInterval（long interval）修改。

Session的常用方法

URL地址重写

虽然Session保存在服务器里，对客户端是透明的，但是Session的正常运行也需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一用户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的ID（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。

如果客户端浏览器将Cookie功能禁用，或者不支持Cookie怎么办呢？比如很多手机就没有支持Cookie的功能。Java Web提供了一种解决方案：URL地址重写。

URL地址重写的原理是将该用户Session的id信息重写到URL地址中。服务器能够解析重写后的URL获取Session的id。这样即使客户端不支持Cookie，也可以使用Session来记录用户状态。HttpServletResponse类提供了encodeURL（String url）实现URL地址重写。