容器怎么知道客户是谁

Http协议是无状态连接,客户浏览器与服务器建立连接、发出请求、得到响应,然后关闭连接。即,连接只针对一个请求/响应。

对容器而言,每个请求都来自于一个新的客户。

客户需要一个唯一的会话ID

IP不能唯一标示Internet上特定的用户

比如公司网络内的用户为一个IP;而IP地址也只是路由的地址;用户换了一台设备的情况;

  • 客户和容器如何交互会话ID信息

    容器必须以某种方式吧会话ID作为响应的一部分交给客户,而客户必须把会话ID作为请求的一部分发回;

    最简单而且最常用的方式是通过cookie交换这个会话ID信息。

    容器会做cookie所有的工作!

    在响应中发送一个会话cookie:

    HttpSession session=request.geteSession();



    余下的所有事情都会自动发生:

    你不用自己建立新的HttpSession对象;

    你不必生成唯一的会话ID;

    你不用自己建立新的Cookie对象;

    你不用把会话ID与cookie关联;

    你不用在响应中设置Cookie;

    cookie的所有工作都在后台运行;

从请求得到会话ID:

HttpSession session=request.geteSession();

与为响应生成会话ID和cookie时所用的方法完全一样!

即:

  1. if(请求包含一个会话ID cookie){
    2. 

  2.     找到与该ID匹配的会话;
    3. 

  3. }else if(没有会话ID cookie OR 没有与此会话ID匹配的当前会话){
    4. 

  4.     创建一个新会话;
    5. 

  5. }

  • 若不想新建会话

    HttpSession session= request.getSession(false);

    若只想要一个已经有的会话,若没有会话则返回null,若有会话存在则返回HttpSession。

  • 若用户不接受cookie

    若用户没有启用cookie,则需要使用URL重写。在Tomcat中表现为URL+;jsessionid=1234567。

    如果不能用cookie,而且只要告诉响应要对URL编码,URL重写才能奏效。

    容器怎么知道cookie不能正常工作?

    容器并不知道cookie是否工作,所以向客户返回第一个响应时,它会同时尝试cookie和URL重写这两种方式;

    当用户发出下一个请求,它把会话ID追加到请求URL,若用户接受cookie,这个请求也会有一个会话ID cookie;

    当servlet调用request.getSession()时,容器若从请求读取会话ID,则认为这个客户接受cookie,所以可以忽略response.encodeURL()调用。

  • 另一种URL重写

    response.encodeRedirectURL("/BeerTest.do");

    用于想把请求重定向到另一个URL,但是还是想使用一个会话。

    注意,若依赖会话,就要把URL重写作为一条后路;

    另外,因为需要URL重写,就必须在响应HTML中动态生成URL,这意味着必须在运行时处理HTML。(当然,可以在JSP中完成URL重写。)

    encodeURL()方法是HttpServletResponse对象上调用的方法,不能再请求上调用这个方法;URL编码只与响应有关。

关键的HttpSession方法



设置会话超时

  • 会话有3中死法:
  1. 超时
    2. 

  2. 在会话对象上调用invalidate()
    3. 

  3. 应用结束(崩溃或取消部署)
  • 在DD中配置会话超时



    这与在会话上调用setMaxInactiveInterval()一样的效果。

  • 设置一个特定会话的会话超时

  • cookie

    cookie实际上就是用户和服务器之间交换的一小段数据(一个名/值String对);

    服务器把cookie发送给客户,客户做出下一个请求时再把cookie返回给服务器。

    与cookie相关的方法封装在3个类中:HttpServletRequest、HttpServletResponse和Cookie。

  • cookie和首部

HttpSession对象的生命周期中的重要时刻:



注意,实现了HttpSessionBindingListener的属性类(如Dog类),不在DD中配置,因为它只与会话中的某个属性有关;

而HttpSessionListener和HttpSessionAttributeListener必须在DD中注册,因为它们会会话本身有关。

会话迁移【分布式Web应用的范畴】

分布式Web应用中,每次同一个客户做请求时,最后这个请求都有可能达到同一个servlet的不同实例;

即指向servlet A的请求A可能在一个VM中,而指向servlet A的请求B可能在另一个不同的VM中。

那么,ServletContext、ServletConfig和HttpSession对象如何表现?

答案:只有HttpSession对象(及其属性)会从一个VM中迁移到另一个VM中(即所有VM只有一个同样ID的HttpSession),其他对象复制(不同VM可能有多个这类对象)。

  • 属性迁移

    若属性是直接的Serializable对象,则该属性会自动在迁移时序列化,不用额外关心它。

    若属性类型不是Serializable呢?那么为了迁移,需要让属性对象类实现HttpSessionActivationListener,并使用激活/钝化回调方法解决这个问题。

Listener示例

  • 会话计数器

    这个监听者允许你跟踪这个Web应用中活动会话的个数:



    在DD中配置监听者:



    注意:

  • 属性监听者

    这个监听者,当每一次向会话增加属性、删除属性或者替换属性时,都能被跟踪到。



    在DD中配置监听者:

    注意,System.out标准输出在Tomcat中默认输出到tomcat/logs/catalina.log中。

  • 属性类(监听对它有影响的事件)

在DD中配置:

与会话相关的监听者



《Head First Servlets & JSP》-6-会话管理的更多相关文章

  1. [Servlet&JSP] HttpSession会话管理

    我们能够将会话期间必须共享的资料保存在HttpSession中,使之成为属性.假设用户关掉浏览器接受Cookie的功能.HttpSession也能够改用URL重写的方式继续其会话管理功能. HttpS ...

  2. HeadFirst Jsp 06 (会话管理)

    现在我们希望能够跨多个请求保留客户特定的状态. 现在, 模型中的业务只是检查请求中的参数, 并返回一个响应(建议), 应用中没有谁记得在当前请求之前与这个客户之间发生过什么. 与一个客户的整个会话期间 ...

  3. 我的Java之旅 第七课 JAVA WEB 会话管理

    1.隐藏域       隐藏域其实不是Servlet/JSP的会话管理机制的内容,但它能实现简单的页面状态记录的效果. 2.Cookie    Cookie类    setMaxAge() 设置有效期 ...

  4. 10、会话管理/编程实战分析/Jsp

    1 会话管理回顾 会话管理 1)会话管理: 管理浏览器和服务器之间的会话过程中产生的会话数据 2)Cookie技术: 会话数据保存在浏览器客户端. Cookie核心的API: 2.1 在服务器端创建C ...

  5. 【JSP&Servlet学习笔记】4.会话管理

    Http本身是无状态通信协议,要进行会话管理的基本原理,就是将需要维护的状态回应给浏览器,由浏览器在下次请求时主动发送状态信息,让Web应用程序“得知”请求之间的关联. 隐藏字段是将状态信息以窗体中看 ...

  6. jsp/servlet学习三之会话管理初解

    由于http的无状态性,使得会话管理或会话跟踪成为web应用开发一个无可避免的主题.默认下,一个web服务器无法区分一个http请求是否为第一次访问.例如,一个web邮件应用要求用户登陆后才能查看邮件 ...

  7. Java中的会话管理——HttpServlet,Cookies,URL Rewriting(译)

    参考谷歌翻译,关键字直接使用英文,原文地址:http://www.journaldev.com/1907/java-session-management-servlet-httpsession-url ...

  8. shiro会话管理

    Shiro提供了完整的企业级会话管理功能,不依赖于底层容器(如web容器tomcat),不管JavaSE还是JavaEE环境都可以使用,提供了会话管理.会话事件监听.会话存储/持久化.容器无关的集群. ...

  9. 【技巧总结】Penetration Test Engineer[4]-Web-Security(文件处理、会话管理、访问控制、SSRF、反序列化漏洞)

    Web安全基础2 3.8.文件处理 1)文件上传 一个正常的业务需求,问题在于控制上传合法文件. 防御文件上传 客户端javascript校验(通常校验扩展名) 检查MIME类型 检查内容是否合法 随 ...

  10. shiro注解,初始化资源和权限,会话管理

     有具体问题的可以参考之前的关于shiro的博文,关于shiro的博文均是一次工程的内容  注解: 新建一个类: 此时需要有admin的权限才可以执行下面的代码 public class ShiroS ...

随机推荐

  1. WPF之X名称空间学习

    WPF的X名称空间都有什么呢?首先,盗用张图来说明: 我将就图表中的内容进行总结: 1.x:Array具有一个Iteams属性,它能暴漏一个ArratList实例,ArratList实例的内部成员类型 ...

  2. ACM学习历程—HDU5696 区间的价值(分治 && RMQ && 线段树 && 动态规划)

    http://acm.hdu.edu.cn/showproblem.php?pid=5696 这是这次百度之星初赛2B的第一题,但是由于正好打省赛,于是便错过了.加上2A的时候差了一题,当时有思路,但 ...

  3. Directx 9 VS2015环境搭建

    安装好Directx9 sdk和vs2015后 打开vs,新建项目 --> c++项目  -->win32控制台应用程序-->空项目 创建项目后,右键项目属性, 包含目录 D:\Pr ...

  4. es6字符串的扩展学习笔记

    1. 传统上,JavaScript只有indexOf方法,可以用来确定一个字符串是否包含在另一个字符串中.ES6又提供了三种新方法. includes():返回布尔值,表示是否找到了参数字符串. st ...

  5. Numpy:dot()函数

    转于:https://www.cnblogs.com/luhuan/p/7925790.html博主:忧郁的白衬衫 一.dot()的使用 1)格式:np.dot(array1, array2) == ...

  6. JavaEE中的Cookie的基本使用方法

    之前一直使用的是统一登录系统,相关的登录由别的部门开发以及维护.但由于最近项目的需要,我们需要自己开发一套简单的登录功能.因此这里就涉及到了一个Cookie的功能.之前也了解过相关的内容,但这次需要独 ...

  7. 腾讯Web前端开发框架JX(Javascript eXtension tools)

    转自:Web前端开发-Web前端工程师 » 腾讯Web前端开发框架JX(Javascript eXtension tools) JX – Javascript eXtension tools 一个类似 ...

  8. Hibernate面试总结

    SSH原理总结 Hibernate工作原理及为什么要用: 原理: hibernate,通过对jdbc进行封装,对 java类和 关系数据库进行mapping,实现了对关系数据库的面向对象方式的操作,改 ...

  9. 问题:C#根据生日计算属相;结果:C#实现根据年份计算生肖属相的方法

    这篇文章主要介绍了C#实现根据年份计算生肖属相的方法,涉及C#数组与字符串的操作技巧,具有一定参考借鉴价值,需要的朋友可以参考下   本文实例讲述了C#实现根据年份计算生肖属相的方法.分享给大家供大家 ...

  10. Runtime机制的使用整理

    一.基本概念 1.1.RunTime简称运行时,就是系统在运行的时候的一些机制,其中最主要的是消息机制. 1.2.对于C语言,函数的调用在编译的时候会决定调用哪个函数,编译完成之后直接顺序执行,无任何 ...