HttpSession

 1、HttpSession概述

• HttpSession是由JavaWeb提供的，用来会话跟踪的类。session是服务器端对象，保存在服务器端。
• HttpSession概述是Servlet三大域对象之一（request、session、application（ServletContext）），所有它有setAttribute（）、getAttribute（）、removeAttribute（）方法。
• HttpSession底层依赖Cookie，或是URL重写

2、HttpSession作用

• 会话范围：会话范围是某个用户从首次访问服务器开始，到该用户关闭浏览器结束。
  • 会话：一个用户对服务器的多次连贯性的请求。所谓连贯性请求，就是该用户多次请求中间没有关闭浏览器。
• 服务器会为每个客户端创建一个session对象，session就好比客户端在服务端的账号，它们被服务器保存到一个Map中，这Map被称为session缓存。
  • Servlet中得到session对象：HttpSession session = request.getSession();
  • jsp中得到session对象：session是jsp内置对象之下，不用创建就可以直接使用。
• session域的相关方法
  • void setAttribute(String name, Object value);
  • Object getAttribute(String name);
  • void removeAttribute(String name);

3、案例1：演示session中会话的多次请求*享数据

• a.jsp：向session域中保存数据
• b.jsp：向session域中获取数据
• 演示：第一个请求：访问a.jsp

                        第二个请求：访问b.jsp

 <%--a.jsp--%>
<h1>向session域保存数据</h1>
<%
    session.setAttribute("aaa","AAA");
%>

<%--b.jsp--%>
<h1>获取session域中数据</h1>
<%
  String s =(String)session.getAttribute("aaa");
%>
<%=s %>

4、案例2：演示保存用户登录信息

• 案例相关页面和Servlet：
  • login.jsp：登录页面
  • succ1.jsp：只有登录成功才能访问的页面
  • succ2.jsp：只有登录成功才能访问的页面
  • LoginServlet：校验用户是否登录成功
• 各页面和Servlet内容：
  • login.jsp：提供登录表单，提交表单请求LoginServlet
  • LoginServlet：获取请求参数，校验用户是否登录成功
    • 失败：保存错误信息到request域，转发到login.jsp（login.jsp显示request域中的错误信息）
    • 成功：保存用户信息到session域中，重定向到succ1.jsp页面，显示session域中的用户信息
  • succ1.jsp：从session域获取用户信息，如果不存在，显示“您还没有登录”。存在则显示用户信息
  • succ2.jsp：从session域获取用户信息，如果不存在，显示“您还没有登录”。存在则显示用户信息

　　只要用户没有关闭浏览器，session就一直存在，那么保存到session中的用户信息也就一起存在，那么用户访问succ1和succ2就会通过。

5、HttpSession原理

• request.getSession（）方法：
  • 获取Cookie中的sessionId；
    • 如果sessionId不存在，创建session，把session保存起来，把新创建的sessionId保存到Cookie中。
    • 如果sessionId存在，通过sessionId查找session对象，如果查找不到，创建session，把session保存起来，把新创建的sessionId保存到Cookie中。
    • 如果sessionId存在，通过sessionId查找到session对象，那就不会创建的session对象了。
    • 返回session
  • 如果创建了新的session，浏览器会得到一个包含了sessionId的Cookie，这个Cookie的生命为-1，即只在浏览器内存中存在，如果不关闭浏览器，那么Cookie，就一直存在。
  • 下次请求时，再次执行request.getSession（）方法时，因为可以通过Cookie中的sessionId找到session对象，所以与上一次请求使用的是同一session对象。
• 服务器不会马上给你创建session，在第一次获取session时，才会创建，request.getSession();
• request.getSession(false)、request.getSession(true)，request.getSession()，后两个方法效果相同，
  • 第一个方法，如果session缓存中（如果cookie不存在），不存在session，那么返回null,而不会创建session对象。

6、HttpSession其它方法：

• String getId():获取JSESSIONID;
• int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟，当session在30分钟内没有使用，那么Tomcat会在session池中移除。
• void invalidate()：让session失效，调用这个方法会使session失效，当session失效后，客户端再次请求，服务器会给客户端创建一个新的session。
• boolean isNew()：查看session是否为新，当客户端第一次请求时，服务器为客户端创建session，但这时服务器还没响应客户端，也就是没有把sessionId存入cookie.

 7、web.xml中配置session的最大不活动时间,以分钟为单位：

　　<session-config>

　　　　<session-timeout>30</session-timeout>

　　</session-config>

8、URL重写

　　就是把所有的页面中的路径，都使用response.encodeURL("....")处理一下。

• session依赖Cookie，目的是让客户端发出请求是归还sessionId，这样才能找到对应的session
• 如果客户端禁用了Cookie，那么就无法得到sessionId，那么session也就无用。
• 也可以使用URL重写代替Cookie
  • 让网站的所有超链接、表单中添加一个特殊的请求参数，即sessionId
  • 这样服务器可以通过获取请求参数得到sessionId，从而找到session对象
• response.encodeURL（String url）
  • 该方法会对url进行智能的重写：当请求中没有归还sessionId这个Cookie,那么该方法会重写url,否则不重写，当然URL必须是指向本站的URL。

 9、一次性图片验证码

• 编写VerifyCode，用来生成一次性图形验证码
• 编写VerifyServlet：
  • 使用VerfiyCode来生成图像验证码
  • 把文本保存到session中
  • 把图片响应给客户
• 在login.jsp页面中
  • <img>元素请求VerfiyServlet，页面中显示图片验证码
  • 表单给出用户输入的验证码
• 在LoginServlet中
  • 获取用户输入的验证码，请求参数。
  • 获取session中保存的真正的验证码文本，这是打开login.jsp时已经保存到session中的
  • 比较用户输入的验证码与session中真正的验证码