从零开始学习JavaWeb-13

 ​​一、会话管理核心概念​​

1. ​​HTTP 无状态性与会话跟踪需求​​

• ​​核心问题​​：HTTP 协议无状态，无法自动关联多次请求（如用户登录状态、购物车数据）。

• ​​解决方案​​：

  • ​​Cookie​​：数据存储在​​客户端浏览器​​（如用户偏好设置）。

  • ​​Session​​：数据存储在​​服务端内存/数据库​​（如用户登录凭证、敏感数据）。

2. ​​Cookie 与 Session 对比​​

 ​​二、Cookie 技术详解与实战​​

1. ​​Cookie 核心操作​​

// 写入Cookie（响应时添加）
Cookie cookie = new Cookie("theme", "dark");  
cookie.setMaxAge(60 * 60 * 24 * 30); // 有效期30天
cookie.setPath("/");                 // 全局生效
cookie.setHttpOnly(true);            // 防XSS攻击
response.addCookie(cookie);  

// 读取Cookie（请求时解析）
Cookie[] cookies = request.getCookies();  
if (cookies != null) {  
    for (Cookie ck : cookies) {  
        if ("theme".equals(ck.getName())) {  
            String theme = ck.getValue(); // 获取主题值
        }  
    }  
}

2. ​​企业级应用场景​​

• ​​用户偏好记录​​：

  // 记录用户选择的语言
  String userLang = request.getParameter("lang");
  if ("en".equals(userLang) || "zh".equals(userLang)) {
      Cookie langCookie = new Cookie("lang", userLang);
      langCookie.setMaxAge(Integer.MAX_VALUE); // 永久有效
      response.addCookie(langCookie);
  }

• ​​购物车临时存储​​：

  • 未登录时将商品ID加密存储于Cookie，登录后同步至服务端。

 ​​三、Session 技术深度解析​​

1. ​​Session 工作原理​​

sequenceDiagram
    用户->>服务器: 首次请求（无Session ID）
    服务器->>用户: 创建Session并返回JSESSIONID（Set-Cookie）
    用户->>服务器: 后续请求携带JSESSIONID
    服务器->>服务器: 根据ID查找Session数据
    服务器->>用户: 返回个性化响应

​​关键机制​​：

• ​​Session ID 生成​​：Tomcat 使用 SessionIdGenerator基于时间戳、随机数、IP 生成唯一ID。

• ​​存储结构​​：默认 ConcurrentHashMap存储，Key 为 Session ID，Value 为 HttpSession对象。

2. ​​Session 核心 API​​

// 获取或创建Session
HttpSession session = request.getSession(true); 

// 存储用户登录状态
session.setAttribute("user", user);  

// 设置Session超时（web.xml配置）
<session-config>
    <session-timeout>30</session-timeout> <!-- 单位：分钟 -->
</session-config>

3. ​​分布式 Session 解决方案​​

​​Redis 集成示例​​：

// Spring Session 配置
@EnableRedisHttpSession 
public class SessionConfig {
    @Bean
    public LettuceConnectionFactory connectionFactory() {
        return new LettuceConnectionFactory("127.0.0.1", 6379);
    }
}

 ​​四、安全风险与防御策略​​

1. ​​会话固定攻击（Session Fixation）​​

• ​​攻击流程​​：

  1. 攻击者访问网站获取合法 Session ID。

  2. 诱骗用户使用该 Session ID 登录（如通过钓鱼链接）。

  3. 攻击者凭相同 Session ID 劫持用户会话。

• ​​防御方案​​：

  // 登录成功后重置 Session ID
  request.getSession().invalidate(); 
  HttpSession newSession = request.getSession(true);
  newSession.setAttribute("user", authenticatedUser);

2. ​​Cookie 安全加固​​

Cookie sessionCookie = new Cookie("JSESSIONID", session.getId());
sessionCookie.setHttpOnly(true);  // 禁止 JavaScript 访问
sessionCookie.setSecure(true);    // 仅 HTTPS 传输
sessionCookie.setPath("/");       
response.addCookie(sessionCookie);

 ​​五、性能优化与生产实践​​

1. ​​Session 存储优化​​

• ​​钝化与活化​​：

  • ​​钝化​​：闲置 Session 序列化到磁盘（Tomcat 配置 maxIdleSwap）。

  • ​​活化​​：请求时重新加载至内存，减少内存占用。

• ​​精简 Session 数据​​：

  • 避免存储大对象（如文件流），改用数据库或缓存记录引用 ID。

2. ​​高并发场景设计​​

// 异步 Session 更新（减少锁竞争）
ExecutorService executor = Executors.newFixedThreadPool(10);
executor.submit(() -> {
    HttpSession session = request.getSession(false);
    if (session != null) {
        session.setAttribute("lastAction", System.currentTimeMillis());
    }
});

 ​​六、综合实战：电商购物车系统​​

1. ​​架构设计​​

2. ​​关键代码实现​​

// 用户登录时同步购物车
public void syncCart(HttpServletRequest request, User user) {
    // 1. 从Cookie读取临时购物车
    Cookie[] cookies = request.getCookies();
    List<Product> tempCart = decryptCart(cookies); 
    
    // 2. 合并到Redis
    redisTemplate.opsForList().rightPushAll("cart:" + user.getId(), tempCart);
    
    // 3. 清理Cookie
    Cookie clearCookie = new Cookie("tempCart", "");
    clearCookie.setMaxAge(0);
    response.addCookie(clearCookie);
}

 ​​七、总结与知识图谱​​

​​学习路线图​​：

graph LR
    A[基础] --> B[Servlet/JSP]
    B --> C[JDBC]
    C --> D[会话管理]
    D --> E[安全加固]
    E --> F[分布式扩展]

​​“会话管理是Web应用的记忆中枢，设计不当将导致数据泄露或系统崩溃”​​

动手实践建议：

1. 实现登录态自动延期（每次请求刷新 Session 有效期）。

2. 用 Redis 存储 Session 并模拟多节点共享。

3. 防御 Session 固定攻击（强制重置 Session ID）。

​​扩展挑战​​：

• 整合 ​​JWT（JSON Web Token）​​ 实现无状态会话。

• 设计 ​​跨域会话共享方案​​（如 OAuth2.0 第三方登录）。