浅谈session的使用（原创）

1.引言

​ 在java中session域对象能将数据存储在服务器端，它可以存放各种类别的数据，相比只能存储字符串的cookie，能给开发人员存储数据提供很大的便利，是一名优秀的后端开发人员必须掌握的技术。此次，我将先介绍一下session域的生命周期，再结合一个cookie和session的例子，讲一讲他们互相配合的大致使用方式，还有session活化、钝化的使用。

2.session域的生命周期

2.1 session的创建

​ 前面提到，session域是将数据存储在服务器端的，于是，session在用户第一次访问服务器，即第一次访问jsp页面或servlet时会被创建。而数据存储在服务器中，是不是会产生无法和客户端一一对应的情况呢？有2个用户访问你的服务器，你在session中给他们分别创建了一个名为”user”的属性，那么你怎么知道哪个”user”对应哪个用户呢？所以，其实在session被创建的同时，浏览器中就会被添加一个cookie，他的名字叫”jsessionid”，是一个很长的随机字符串，而服务器就可以用这个cookie作为标识，精确地访问到对应用户。比如用户1的”jsessionid”可能为”e39bb9c...”，而用户2的”jsessionid”为”78dd984...”。

2.2 session的销毁

​ 现在，我们已经知道session是如何产生的了，但是，不弄明白他什么时候被销毁，相信大家也不敢轻易使用的。服务器会把长时间不用的session清除掉，默认这个时间是30分钟，可以在web.xml中设置标签里的标签，单位是分钟，比如设为60，他的默认销毁时间就会变成1小时。还有一种情况，就是调用session的invalidate方法强制销毁。这也就导致关闭服务器的时候会销毁session，因为关闭服务器的时候服务器会自动调用invalidate方法清除所有session。

3.那么，session被销毁后，其中存放的属性不就都访问不到了吗，有何良策？

​ 将session的标签设为10080（60247），即7天后销毁？此为下策，虽然在不关闭服务器的情况下，勉强可以产生类似cookie的长时间保存数据的效果。但是，要知道session的数据是存储在服务器内存中的，随着用户的增加，session域对象势必会迅猛增加，而它们存储的数据将是海量的，如此你还敢把session在服务器中存放7天？

​ 有两种方法可以避免这种情况。一，不给session设置7天的有效期，而是用cookie来存储那7天有效期。因为cookie是存放在客户端的，不会对服务器造成太大的压力，每次通过cookie存储一些关键数据，并通过数据库查找到完整数据，并存放在已经失效的session中，就成了一条可达之路。二，可以设置session的活化钝化，这样session在30分钟后不会消除，而是会钝化到硬盘中，在session被使用的时候，就又将钝化后的文件活化到内存*调用。下面，我将对这两种方法通过实例进行详细地讲解。

3.1 cookie与session的相伴相生

​ 首先，我们需要一个记住密码的选项：

<input type="checkbox" name="remember" value="rememberme" checked="checked"/>记住我 

​ 然后在servlet中获取这个参数，并且在判断用户名和密码都正确之后，将账号和密码用#隔开存在cookie中，并设置有效期7天，这个cookie是在客户端的，不用担心服务器压力太大。

string rememberme = request.getparameter("remember");
if(用户名密码正确){
    if(rememberme.equals("rememberme")) {
        cookie cookie = new cookie("user",username+"#"+password);
        cookie.setmaxage(7*24*60*60);
        cookie.setpath(request.getcontextpath());
        response.addcookie(cookie);
    }
}

​ 再之后写filter，先写注解，然后写内容：1.先将requset和response转化成http模式的，然后获取session。2.判断如果session中没有user这个属性了，从cookie中查找user这个cookie，如果找到了，获取用户名和密码，然后用userservice根据用户名和密码在数据库中查找对应的userbean对象，并再次存放到session中，最后放行。

@webfilter(filtername="userfilter",urlpatterns="/client/*",dispatchertypes= {
        dispatchertype.request,
        dispatchertype.forward,
        dispatchertype.include
})
    public void dofilter(servletrequest req, servletresponse resp, filterchain chain)       throws ioexception, servletexception {
        httpservletrequest request = (httpservletrequest) req;
        httpservletresponse response = (httpservletresponse) resp;
        httpsession session = request.getsession();
        if(session.getattribute("user")==null) {
            cookie[] cookies = request.getcookies();
            cookie cookie = cookieutil.findcookiebyname(cookies, "user");
            if(cookie!=null) {
                string[] userinfo = cookie.getvalue().split("#");
                string username = userinfo[0];
                string password = userinfo[1];
                userservice userservice = new userserviceimpl();
                try {
                    user user = (user)userservice.login(username, password);
                    session.setattribute("user", user);
                } catch (sqlexception e) {
                    e.printstacktrace();
                }
                
            }
        }
        chain.dofilter(request, response);
    }

​ 如此，便通过cookie和session的巧妙合作，完成了一次长达7天的自动登录功能。

3.2 session活化钝化自力更生

​ 首先，要实现这么操作，需要先去配置文件里走一遭，因为虽然默认session的活化是开启的，但钝化是关闭的。考虑尽量不影响别的使用这个tomcat的项目的正常使用的情况下，我们只针对这个web项目开启钝化。这需要在/webroot/meta-inf 目录下创建 context.xml文件，在里面写下以下内容：

<?xml version="1.0" encoding="utf-8"?>
<context>
    <manager classname="org.apache.catalina.session.persistentmanager" maxidleswap="1">
        <store classname="org.apache.catalina.session.filestore" directory="zhanga" />
    </manager>
</context>

​ 这样，就可以让session在1分钟没有操作后被钝化到tomcat工作路径的zhanga文件夹下。我们可以先找一找，或者写一个监听器来验证验证。那么我是先去工作路径找了，果然，在tomcat8.5\work\catalina\localhost\bookstore下出现了一个名为zhanga的文件夹，而其中，正是我们刚刚钝化掉的session文件。那么再测试下监听吧，首先我们让user实现httpsessionactivationlistener和serializable这两个接口。接着，在sessiondidactivate方法中输出“我被活化了”，在另一个方法中输出“我被钝化了”。然后重启服务器，再次登录观察输出。一分钟后，看到控制台输出“我被钝化了”了，我们再次刷新网页。因为之前filter没删的原因，在client下的网页每次运行都会检测session中有没有user这个属性，所以控制台立刻输出了“我被活化了”。至此，活化钝化测试完美收官。

//部分代码
import java.io.serializable;
import javax.servlet.http.httpsessionactivationlistener;
import javax.servlet.http.httpsessionevent;

public class user implements httpsessionactivationlistener,serializable{
    @override
    public void sessiondidactivate(httpsessionevent arg0) {
        // todo auto-generated method stub
        system.out.println("我被活化了");
    }
    @override
    public void sessionwillpassivate(httpsessionevent arg0) {
        // todo auto-generated method stub
        system.out.println("我被钝化了");
    }
}

最后

希望这篇文章能帮到大家更加了解session。