Java EE : 3、圖解Session（會話） Java EE : 1、圖解Http協議 Java EE : 2、圖解 Cookie（小甜餅） Java EE : 3、圖解Session（會話）

時間 2019-12-08

標籤 java 圖解 session 會話 http 協議 cookie 甜餅欄目 Java 简体版

原文原文鏈接

目錄html

Java EE : 1、圖解Http協議java

Java EE : 2、圖解 Cookie（小甜餅）git

Java EE : 3、圖解Session（會話）github

概述web

1、Session由來數據庫

2、Session機制express

3、詳細介紹Seesion機制過程apache

4、補充瀏覽器

5、總結安全

參考

1、Session由來

HTTP的無狀態，也就是說，每次請求都是獨立的線程。舉個例子吧：購物中，你選擇了A商品，加入購物車，這就是A線程。而後在選擇B商品就是B線程。但是每次線程獨立（對容器而言，A、B成了不一樣的用戶），線程A不知道有B，B也不知道A。如何一塊兒付款呢？

簡答來講：怎麼保存同個用戶多個請求會話狀態呢？天然HTTPS保證鏈接是安全的，可使它與一個會話關聯。

問題就在於如何跟蹤同一個用戶，選擇天然不少：

一、EJB(有狀態會話bean保存會話狀態) 環境苛刻須要帶EJB的J2EE服務器，而不是Tomcat這種Web容器。

二、數據庫（這貌似萬能的。針對數據）

三、就是咱們要講的HttpSeesion，保存跨一個特定用戶多個請求的會話狀態。

四、上面說的HTTPS,條件太苛刻了。

如圖：

2、Session機制

機制，什麼用詞有點高大上。其實就是把它內在的一點東西說出來。主要兩個W：What？How？

What is Session?

Session表明着服務器和客戶端一次會話的過程。直到session失效（服務端關閉），或者客戶端關閉時結束。

How does session works？

Session 是存儲在服務端的，並針對每一個客戶端（客戶），經過SessionID來區別不一樣用戶的。Session是以Cookie技術或URL重寫實現。默認以Cookie技術實現，服務端會給此次會話創造一個JSESSIONID的Cookie值。

補充：

其實還有一種技術：表單隱藏字段。它也能夠實現session機制。這裏只是做爲補充，服務器響應前，會修改form表單，添加一個sessionID相似的隱藏域，以便傳回服務端的時候能夠標示出此會話。

這技術，也可使用在Web安全上，能夠有效地控制CRSF跨站請求僞造。

3、詳細介紹Seesion機制過程

圖中這是session第一次請求的詳細圖。以Cookie技術實現，我也寫了個HttpSessionByCookieServletT.java 的Servlet小demo，模擬下Seesion的一輩子。代碼以下：

 
        package 
        org.servlet.sessionMngmt; 
       
        import 
        java.io.IOException; 
       
        import 
        java.io.PrintWriter; 
       
        import 
        javax.servlet.ServletException; 
       
        import 
        javax.servlet.annotation.WebServlet; 
       
        import 
        javax.servlet.http.HttpServlet; 
       
        import 
        javax.servlet.http.HttpServletRequest; 
       
        import 
        javax.servlet.http.HttpServletResponse; 
       
        import 
        javax.servlet.http.HttpSession; 
       
        /* 
       
        * Copyright [2015] [Jeff Lee] 
       
        * 
       
        * Licensed under the Apache License, Version 2.0 (the "License"); 
       
        * you may not use this file except in compliance with the License. 
       
        * You may obtain a copy of the License at 
       
        * 
       
        *   http://www.apache.org/licenses/LICENSE-2.0 
       
        * 
       
        * Unless required by applicable law or agreed to in writing, software 
       
        * distributed under the License is distributed on an "AS IS" BASIS, 
       
        * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. 
       
        * See the License for the specific language governing permissions and 
       
        * limitations under the License. 
       
        */ 
       
        /** 
       
        * @author Jeff Lee 
       
        * @since 2015-7-12 10:58:28 
       
        *  HttpSession的默認Cookie實現案例 
       
        */ 
       
        @WebServlet 
        (urlPatterns =  
        "/sessionByCookie" 
        ) 
       
        public 
        class 
        HttpSessionByCookieServletT  
        extends 
        HttpServlet { 
       
        private 
        static 
        final 
        long 
        serialVersionUID = 1L; 
       
        @Override 
       
        protected 
        void 
        doGet(HttpServletRequest req, HttpServletResponse resp) 
       
        throws 
        ServletException, IOException { 
       
        // 獲取session 
       
        // 若是是第一次請求的話，會建立一個HttpSeesion，等同於 req.getSession(true); 
       
        // 若是已存在session，則會獲取session。 
       
        HttpSession session = req.getSession(); 
       
        if 
        (session.isNew()) { 
       
        // 設置session屬性值 
       
        session.setAttribute( 
        "name" 
        ,  
        "Jeff" 
        ); 
       
        } 
       
        // 獲取SessionId 
       
        String sessionId = session.getId(); 
       
        PrintWriter out = resp.getWriter(); 
       
        // 若是HttpSeesion是新建的話 
       
        if 
        (session.isNew()) { 
       
        out.println( 
        "Hello,HttpSession! <br>The first response - SeesionId=" 
       
        + sessionId +  
        " <br>" 
        ); 
       
        }  
        else 
        { 
       
        out.println( 
        "Hello,HttpSession! <br>The second response - SeesionId=" 
       
        + sessionId +  
        " <br>" 
        ); 
       
        // 從Session獲取屬性值 
       
        out.println( 
        "The second-response - name: " 
       
        + session.getAttribute( 
        "name" 
        )); 
       
        } 
       
        } 
       
        }