1.概述
存在服务器的一种用来存放用户数据的类哈希表结构,当浏览器第一次发送请求的时候服务器会生成一个hashtable和一个sessionid,sessionid来唯一标识这个hashtable,响应的时候会通过一个响应头set-cookie返回给浏览器,浏览器再将这个sessionid存储在一个名为JESSIONID的cookie中。
接着浏览器在发送第二次请求时,就会带上这个cookie,这个cookie会存储sessionid一并发送给了一个服务,服务器再从请求中提取出对应的一个sessionid并和当前保存的所有的一个sessionid去进行一个对比然后找到这个sessionid对应的用户信息。
2.Session的基本概念
①Session就是一个接口(HttpSession)。
②Session就是会话,它是用来维护服务器与客户端之间关联的一种技术
③每个客户端都有自己的一个Session会话。
④Session会话中,我们经常用来保存用户登录之后的信息
3.常用的API
①获取Session中的数据
Object getAttribute(String var1)②往Session中保存数据
void setAttribute(String var1, Object var2)③获取ServletContext对象
ServletContext getServletContext()④判断Session是否为新的
boolean isNew()⑤获取session对象的id值
String getId()⑥销毁该Session
void invalidate()⑦获取Session中的默认超时时长
int getMaxInactiveInterval()⑧设置Session中的默认超时时长
void setMaxInactiveInterval(int var1)4.如何创建和获取Session
BaseServlet
public abstract class BaseServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
doPost(req, resp);
}
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
// 解决post请求中文乱码问题
// 一定要在获取请求参数之前调用才有效
req.setCharacterEncoding("UTF-8");
// 解决响应中文乱码问题
resp.setContentType("text/html; charset=UTF-8");
String action = req.getParameter("action");
try {
// 获取action业务鉴别字符串,获取相应的业务 方法反射对象
Method method = this.getClass().getDeclaredMethod(action, HttpServletRequest.class, HttpServletResponse.class);
// System.out.println(method);
// 调用目标业务 方法
method.invoke(this, req, resp);
} catch (Exception e) {
e.printStackTrace();
}
}
}SessionServlet
public class SessionServlet extends BaseServlet{
protected void createOrGetSession(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
//创建和获取session会话对象
HttpSession session = req.getSession();
//判断当前Session会话对象是否是刚创建出来的
Boolean isNew = session.isNew();
//获取session对象的id值
String id = session.getId();
resp.getWriter().write("得到session,它的id是:" + id + "<br/>" );
resp.getWriter().write("得到session,它是否为新的:" + isNew + "<br/>");
}
/**
* 往Session中保存数据
* @param req
* @param resp
* @throws ServletException
* @throws IOException
*/
protected void setAttribute(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
req.getSession().setAttribute("key1","value1");
resp.getWriter().write("已经往Session中保存了数据!");
}
/**
* 获取session中的数据
* @param req
* @param resp
* @throws ServletException
* @throws IOException
*/
protected void getAttribute(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
Object attribute = req.getSession().getAttribute("key1");
resp.getWriter().write("从session中获取的数据是:" + attribute);
}
}session.html
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="cache-control" content="no-cache" />
<meta http-equiv="Expires" content="0" />
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>Session</title>
<base href="http://localhost:8080/cookie_session/">
<style type="text/css">
ul li {
list-style: none;
}
</style>
</head>
<body>
<iframe name="target" width="500" height="500" style="float: left;"></iframe>
<div style="float: left;">
<ul>
<li><a href="sessionServlet?action=createOrGetSession" target="target">Session的创建和获取(id号、是否为新创建)</a></li>
</ul>
</div>
</body>
</html>5.Session的生命周期
SessionServlet
protected void defaultLife(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
// 获取了Session的默认超时时长
int maxInactiveInterval = req.getSession().getMaxInactiveInterval();
resp.getWriter().write("Session的默认超时时长为:" + maxInactiveInterval + " 秒 ");
}session.html
<ul>
<li><a href="sessionServlet?action=defaultLife" target="target">Session的默认超时及配置</a></li>
<li><a href="sessionServlet?action=life3" target="target">Session3秒超时销毁</a></li>
<li><a href="sessionServlet?action=deleteNow" target="target">Session马上销毁</a></li>
</ul>在tomcat的conf文件夹中的web.xml文件中默认有以下的配置,它就表示配置了当前 Tomcat 服务器下所有的 Session超时配置默认时长为: 30 分钟。
<session-config>
<session-timeout>30</session-timeout>
</session-config>我们可以在SessionServlet中添加方法进行设置
protected void life3(HttpServletRequest req, HttpServletResponse resp) throws ServletException,
IOException {
// 先获取 Session 对象
HttpSession session = req.getSession();
// 设置当前 Session3 秒后超时
session.setMaxInactiveInterval(3);
resp.getWriter().write("当前 Session 已经设置为 3 秒后超时");
}Session马上被超时
protected void deleteNow(HttpServletRequest req, HttpServletResponse resp) throws ServletException,
IOException {
// 先获取 Session 对象
HttpSession session = req.getSession();
// 让 Session 会话马上超时
session.invalidate();
resp.getWriter().write("Session 已经设置为超时(无效) ");
}6.使用Session可以解决一下问题
案例一:使用Session完成用户简单登录
先创建User类
public class User {
private String username = null;
private String password = null;
public User() {
}
public User(String username, String password) {
super();
this.username = username;
this.password = password;
}
......各种set get方法使用简单的集合模拟一个数据库
public class UserDB {
private static List<User> list = new ArrayList<>();
static {
list.add(new User("admin", "888"));
list.add(new User("aaa", "111"));
list.add(new User("bbb", "222"));
} //通过用户名密码查找用户
public static User find(String username, String password) {
for (User user : list) {
if (user.getUsername().equals(username) && user.getPassword().equals(password)) {
return user;
}
}
return null;
}
}表单提交我们写在jsp里面(模仿即可后期说jsp)
public class UserDB {
private static List<User> list =new ArrayList<>();
static {
list.add(new User("admin","888"));
list.add(new User("aaa","111"));
list.add(new User("bbb","222"));
}
//通过用户名密码查找用户
public static User find(String username, String password) {
for (User user:list) {
if (user.getUsername().equals(username)&& user.getPassword().equals(password)) {
return user;
}
}
return null;
}
}获取表单提交的数据,查找数据库是否有相对应的用户名和密码
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
response.setContentType("text/html;charset=UTF-8");
String username = request.getParameter("username");
String password = request.getParameter("password");
User user = UserDB.find(username, password);
//如果找不到,就是用户名或者密码出错了
if (user == null) {
response.getWriter().write("用户名或者密码错误,登陆失败 !");
return;
}
//标志着用户已经登录
HttpSession httpSession = request.getSession();
httpSession.setAttribute("user", user);
//跳转到其他页面,告诉用户已经登录成功
response.sendRedirect(response.encodeURL("test.jsp"));
}
案例二:利用Session防止表单重复提交
重复提交的危害:
在投票的网页上不停地提交,实现了刷票的效果。
注册多个用户,不断发帖子,扰乱正常发帖秩序。
常见的两种重复提交
第一种:后退再提交
第二种:网络延迟,多次点击提交按钮
略图
解决方案:
网络延迟问题:
对于第二种网络延而造成多次提交数据给服务器,其实是客户端的问题,我们可以使用javaScript来防止
→ 当用户第一次点击提交按钮是,把数据提交给服务器,当用户再次点击提交按钮时,就不把数据提交给服务器了
监听用监听事件。只能让用户提交一次表单:
<%@ page language="java" import="java.util.*" pageEncoding="UTF-8"%>
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
<title>表单提交</title>
<script type="text/javascript">
//定义一个全局标识量:是否已经提交过表单数据
var isCommitted = false;
function doSubmit() {
//false表示的是没有提交过,于是就可以让表单提交给Servlet
if (isCommited == false){
is Commited = true;
return true;
}else{
return false;
}
}
</script>
</head>
<body>
<form action="/web-01/Lservlet" method="post" onsubmit="return doSubmit()">
用户名:<input type="text" name="username"><br /> <input
type="submit" value="提交">
</form>
</body>
</html>刷新后退再提交问题:
我们知道Session可以用来标识一个用户是否登陆了。Session的原理也说了:不同的用户浏览器会拥有不同的Session。而request和ServletContext为什么就不行呢?request的域对象只能是一次http请求,提交表单数据的时候request域对象的数据取不出来。ServletContext代表整个web应用,如果有几个用户浏览器同时访问,ServletContext域对象的数据会被多次覆盖掉,也就是说域对象的数据就毫无意义了。
此时,我们就想到了,在表单中还有一个隐藏域,可以通过隐藏域把数据交给服务器。
A:判断Session域对象的数据和jsp隐藏域提交的数据是否对应。
B:判断隐藏域的数据是否为空【如果为空,就是直接访问表单处理页面的Servlet】
C:判断Session的数据是否为空【servlet判断完是否重复提交,最好能立马移除Session的数据,不然还没有移除的时候,客户端那边儿的请求又来了,就又能匹配了,产生了重复提交。如果Session域对象数据为空,证明已经提交过数据了!】
D:我们向Session域对象的存入数据究竟是什么呢?简单的一个数字?好像也行啊。因为只要Session域对象的数据和jsp隐藏域带过去的数据对得上号就行了呀,反正在Servlet上判断完是否重复提交,会立马把Session的数据移除掉的。更专业的做法是:向Session域对象存入的数据是一个随机数【Token--令牌】
public class TokenProcessor {
private TokenProcessor() {
}
private final static TokenProcessor TOKEN_PROCESSOR = new TokenProcessor();
public static TokenProcessor getInstance() {
return TOKEN_PROCESSOR;
}
public String makeToken() {
// 这个随机生成出来的Token的长度是不确定的
String token = String.valueOf(System.currentTimeMillis() + new Random().nextInt(99999999));
try {
// 我们想要随机数的长度一致,就要获取到数据指纹
MessageDigest messageDigest = MessageDigest.getInstance("md5");
byte[] md5 = messageDigest.digest(token.getBytes()); // 如果我们直接
// return new String(md5)出去,得到的随机数会乱码
// 因为随机数是任意的01010101010,在转换成字符串的时候,会差gb2312的码表
// gb2312码表不一定支持该二进制数据,得到的就是乱码
// 于是经过base64编码成了明文的数据
BASE64Encoder base64Encoder = new BASE64Encoder();
return base64Encoder.encode(md5);
} catch (NoSuchAlgorithmException e) {
e.printStackTrace();
} return null;
}
}创建Token随机数,利用getRequestDispatcher跳转到jsp页面(地址还是Servlet的)
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
// 生出随机数
TokenProcessor tokenProcessor = TokenProcessor.getInstance();
String token = tokenProcessor.makeToken();
// 将随机数存进Session中
request.getSession().setAttribute("token", token);
// 跳转到显示页面
request.getRequestDispatcher("/login3.jsp").forward(request, response);Jsp隐藏域获取到Session的值
<form action="/web-01/Mservlet" >
用户名:<input type="text" name="username">
<input type="submit" value="提交" id="button">
<%--使用EL表达式取出session中的Token--%>
<input type="hidden" name="token" value="${token}" >
</form>在处理表单提交页面中判断:jsp隐藏域是否有带值过来,Session中的值是否为空,Session中的值和jsp隐藏域带过来的值是否相等
protected void doGet(HttpServletRequest request, HttpServletResponse response)
throws ServletException, IOException {
response.setContentType("text/html;charset=UTF-8");
PrintWriter printWriter = response.getWriter();
String serverValue = (String) request.getSession().getAttribute("token");
String clienValue = request.getParameter("token");
if (serverValue != null && clienValue != null && serverValue.equals(clienValue)) {
printWriter.write("处理请求");
// 清除Session域对象数据
request.getSession().removeAttribute("token");
} else {
printWriter.write("请不要重复提交数据");
}
}
实现原理是非常简单的
在session域中存储一个token
然后前台页面的隐藏域获取得到这个token
在第一次访问的时候,我们就判断seesion有没有值,如果有就比对。对比正确后我们就处理请求,接着就把session存储的数据给删除了
等到再次访问的时候,我们session就没有值了,就不受理前台的请求了!
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
