TTP協(xié)議是無狀態(tài)的�����,即信息無法通過HTTP協(xié)議本身進傳遞。為了跟蹤用戶的操作狀態(tài)����,ASP應用SESSION對象。JSP使用一個叫HttpSession的對象實現(xiàn)同樣的功能�����。HTTPSession 是一個建立在cookies 和URL-rewriting上的高質(zhì)量的界面�。Session的信息保存在服務器端,Session的id保存在客戶機的cookie中��。事實上�����,在許多服務器上����,如果瀏覽器支持的話它們就使用cookies,但是如果不支持或廢除了的話就自動轉(zhuǎn)化為URL-rewriting,session自動為每個流程提供了方便地存儲信息的方法�����。
Session一般在服務器上設置了一個30分鐘的過期時間,當客戶停止活動后自動失效��。Session 中保存和檢索的信息不能是基本數(shù)據(jù)類型如 int, double等�����,而必須是java的相應的對象,如Integer, Double��。
session機制是一種服務器端的機制���,服務器使用一種類似于散列表的結(jié)構(gòu)(也可能就是使用散列表)來保存信息��。
當程序需要為某個客戶端的請求創(chuàng)建一個session的時候��,服務器首先檢查這個客戶端的請求里是否已包含了一個session標識 - 稱為 session id�,如果已包含一個session id則說明以前已經(jīng)為此客戶端創(chuàng)建過session���,服務器就按照session id把這個 session檢索出來使用(如果檢索不到��,可能會新建一個)����,如果客戶端請求不包含session id�����,則為此客戶端創(chuàng)建一個session并且生成一個與此session相關聯(lián)的session id����,session id的值應該是一個既不會重復,又不容易被找到規(guī)律以仿造的字符串�����,這個 session id將被在本次響應中返回給客戶端保存��。
保存這個session id的方式可以采用cookie���,這樣在交互過程中瀏覽器可以自動的按照規(guī)則把這個標識發(fā)揮給服務器�����。一般這個cookie的名字都是類似于SEEESIONID��,而�����。比如weblogic對于web應用程序生成的cookie���,JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764�����,它的名字就是 JSESSIONID��。
由于cookie可以被人為的禁止�,必須有其他機制以便在cookie被禁止時仍然能夠把session id傳遞回服務器�。經(jīng)常被使用的一種技術叫做URL重寫,就是把session id直接附加在URL路徑的后面��,附加方式也有兩種����,一種是作為URL路徑的附加信息,表現(xiàn)形式為http://...../xxx;jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一種是作為查詢字符串附加在URL后面����,表現(xiàn)形式為http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
這兩種方式對于用戶來說是沒有區(qū)別的,只是服務器在解析的時候處理的方式不同�,采用第一種方式也有利于把session id的信息和正常程序參數(shù)區(qū)分開來。
為了在整個交互過程中始終保持狀態(tài)���,就必須在每個客戶端可能請求的路徑后面都包含這個session id��。
另一種技術叫做表單隱藏字段��。就是服務器會自動修改表單�,添加一個隱藏字段�����,以便在表單提交時能夠把session id傳遞回服務器���。
實際上這種技術可以簡單的用對action應用URL重寫來代替���。
在談論session機制的時候,常常聽到這樣一種誤解“只要關閉瀏覽器�����,session就消失了”��。其實可以想象一下會員卡的例子��,除非顧客主動對店家提出銷卡�����,否則店家絕對不會輕易刪除顧客的資料。對session來說也是一樣的�����,除非程序通知服務器刪除一個session�����,否則服務器會一直保留�����,程序一般都是在用戶做log off的時候發(fā)個指令去刪除session��。然而瀏覽器從來不會主動在關閉之前通知服務器它將要關閉��,因此服務器根本不會有機會知道瀏覽器已經(jīng)關閉���,之所以會有這種錯覺��,是大部分session機制都使用會話cookie來保存session id�����,而關閉瀏覽器后這個 session id就消失了�����,再次連接服務器時也就無法找到原來的session���。如果服務器設置的cookie被保存到硬盤上,或者使用某種手段改寫瀏覽器發(fā)出的HTTP請求頭�,把原來的session id發(fā)送給服務器,則再次打開瀏覽器仍然能夠找到原來的session�。
恰恰是由于關閉瀏覽器不會導致session被刪除,迫使服務器為seesion設置了一個失效時間�����,當距離客戶端上一次使用session的時間超過這個失效時間時����,服務器就可以認為客戶端已經(jīng)停止了活動,才會把session刪除以節(jié)省存儲空間��。
getId 此方法返回唯一的標識�,這些標識為每個session而產(chǎn)生。當只有一個單一的值與一個session聯(lián)合時����,或當日志信息與先前的session有關時�����,它被當作鍵名用�。
GetCreationTime 返回session被創(chuàng)建的時間�����。最小單位為千分之一秒���。為得到一個對打印輸出很有用的值�,可將此值傳給Date constructor 或者GregorianCalendar的方法setTimeInMillis��。
GetLastAccessedTime 返回session最后被客戶發(fā)送的時間���。最小單位為千分之一秒��。
GetMaxInactiveInterval 返回總時間(秒),負值表示session永遠不會超時�。
getAttribute 取一個session相聯(lián)系的信息�。(在jsp1.0中為 getValue)
Integer item = (Integer) session.getAttrobute("item") //檢索出session的值并轉(zhuǎn)化為整型
setAttribute 提供一個關鍵詞和一個值。會替換掉任何以前的值����。(在jsp1.0中為putValue)
session.setAttribute("ItemValue", itemName); // ItemValue 必須不是must簡單類型
1����、session在何時被創(chuàng)建
一個常見的誤解是以為session在有客戶端訪問時就被創(chuàng)建���,然而事實是直到某server端程序調(diào)用HttpServletRequest.getSession(true)這樣的語句時才被創(chuàng)建�����,注意如果JSP沒有顯示的使用 <%@page session="false"%>關閉session,則JSP文件在編譯成Servlet時將會自動加上這樣一條語句HttpSession session = HttpServletRequest.getSession(true);這也是JSP中隱含的session對象的來歷�����。
由于session會消耗內(nèi)存資源����,因此,如果不打算使用session��,應該在所有的JSP中關閉它�����。
2、session何時被刪除
綜合前面的討論����,session在下列情況下被刪除a.程序調(diào)用HttpSession.invalidate();或b.距離上一次收到客戶端發(fā)送的session id時間間隔超過了session的超時設置;或c.服務器進程被停止(非持久session)
3、如何做到在瀏覽器關閉時刪除session
嚴格的講���,做不到這一點��?梢宰鲆稽c努力的辦法是在所有的客戶端頁面里使用javascript代碼window.oncolose來監(jiān)視瀏覽器的關閉動作,然后向服務器發(fā)送一個請求來刪除session���。但是對于瀏覽器崩潰或者強行殺死進程這些非常規(guī)手段仍然無能為力�。
4��、有個HttpSessionListener是怎么回事
你可以創(chuàng)建這樣的listener去監(jiān)控session的創(chuàng)建和銷毀事件�����,使得在發(fā)生這樣的事件時你可以做一些相應的工作���。注意是session的創(chuàng)建和銷毀動作觸發(fā)listener��,而不是相反��。類似的與HttpSession有關的listener還有HttpSessionBindingListener��,HttpSessionActivationListener和HttpSessionAttributeListener�����。
5���、存放在session中的對象必須是可序列化的嗎
不是必需的���。要求對象可序列化只是為了session能夠在集群中被復制或者能夠持久保存或者在必要時server能夠暫時把session交換出內(nèi)存。在Weblogic Server的session中放置一個不可序列化的對象在控制臺上會收到一個警告�����。我所用過的某個iPlanet版本如果session中有不可序列化的對象�����,在session銷毀時會有一個Exception�,很奇怪�����。
6、如何才能正確的應付客戶端禁止cookie的可能性
對所有的URL使用URL重寫����,包括超鏈接,form的action�,和重定向的URL,具體做法參見[6]
http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770
7�、開兩個瀏覽器窗口訪問應用程序會使用同一個session還是不同的session
參見第三小節(jié)對cookie的討論,對session來說是只認id不認人����,因此不同的瀏覽器,不同的窗口打開方式以及不同的cookie存儲方式都會對這個問題的答案有影響��。
8�、如何防止用戶打開兩個瀏覽器窗口操作導致的session混亂
這個問題與防止表單多次提交是類似的,可以通過設置客戶端的令牌來解決�����。就是在服務器每次生成一個不同的id返回給客戶端����,同時保存在session里,客戶端提交表單時必須把這個id也返回服務器�����,程序首先比較返回的id與保存在session里的值是否一致,如果不一致則說明本次操作已經(jīng)被提交過了����。可以參看《J2EE核心模式》關于表示層模式的部分����。需要注意的是對于使用javascript window.open打開的窗口,一般不設置這個id����,或者使用單獨的id,以防主窗口無法操作�����,建議不要再window.open打開的窗口里做修改操作�,這樣就可以不用設置��。
9�����、為什么在Weblogic Server中改變session的值后要重新調(diào)用一次session.setValue
做這個動作主要是為了在集群環(huán)境中提示W(wǎng)eblogic Server session中的值發(fā)生了改變,需要向其他服務器進程復制新的session值���。
10����、為什么session不見了
排除session正常失效的因素之外��,服務器本身的可能性應該是微乎其微的���,雖然筆者在iPlanet6SP1加若干補丁的Solaris版本上倒也遇到過�����;瀏覽器插件的可能性次之�,筆者也遇到過3721插件造成的問題��;理論上防火墻或者代理服務器在cookie處理上也有可能會出現(xiàn)問題�����。
出現(xiàn)這一問題的大部分原因都是程序的錯誤��,最常見的就是在一個應用程序中去訪問另外一個應用程序����。
