Java Web之第5章会话及其会话技术

会话技术：在Web开发中，服务器跟踪用户信息的技术
当用户通过浏览器访问Web应用时，通常情况下，服务器需要对用户的状态进行跟踪。例如，用户在网站结算商品时，Web服务器必须根据请求用户的身份，找到该用户所购买的商品

5.1 会话概述

在日常生活中，从拨通电话到挂断电话之间的一连串的你问我答的过程就是一个会话。Web应用中的会话过程类似于生活中的打电话过程，它指的是一个客户端（浏览器）与Web服务器之间连续发生的一系列请求和响应的过程，例如，一个用户在某网站上的整个购物过程就是一个会话

在打电话过程中，通话双方会有通话内容，同样，在客户端与服务器端交互的过程中，也会产生一些数据。例如，用户甲和乙分别登陆了购物网站，甲购买了一个Nokia手机，乙购买了一个iPad，当这两个用户结账时，Web服务器需要对用户甲和乙的信息分别进行保存。在前面讲解对象中，HttpServletRequest对象和ServletContext对象都可以对数据进行保存，但是这两个对象都不可行，具体原因如下：

（1）客户端请求Web服务器时，针对每次HTTP请求，Web服务器都会创建一个HttpServletRequest对象，该对象只能保存本次请求所传递的数据。由于购买和结账是两个不同的请求，因此，在发送结账的请求时，之前购买请求中的数据将会丢失

（2）使用ServletContext对象保存数据时，由于同一个Web应用共享的是一个ServletContext对象，因此，当用户在发送结账的请求时，由于无法区分哪些商品是哪个用户所购买的，而会将该购物网站中所有用户购买的商品进行结算，这显然也是不行的

为了保存会话过程中产生的数据，在Servlet技术中，提供了两个用于保存会话数据的对象，分别是Cookie和Session

5.2 Cookie对象

Cookie：是一种会话技术，它用于将会话过程的数据保存到用户的浏览器中，从而使浏览器和服务器可以更好地进行数据交互

5.2.1 什么是Cookie

在现实生活中，当顾客在购物时，商城经常会赠送顾客一张会员卡，卡上记录用户的个人信息（姓名，手机号等），消费额度和积分额度等，顾客一旦接受了会员卡，以后每次光临该商城时，都可以使用这张会员卡，商城也将根据会员卡上的消费记录计算会员的优惠额度和累加积分。在Web应用中，Cookie的功能类似于这张会员卡，当用户通过浏览器访问Web服务器时，服务器会给客户端发送一些信息，这些信息都保存在Cookie中。这样，当该浏览器再次访问服务器时，都会在请求头中将Cookie发送给服务器，方便服务器对浏览器做出正确的响应

服务器向客户端发送Cookie时，会在HTTP响应头字段中增加Set-Cookie响应头字段。Set-Cookie头字段中设置的Cookie遵循一定的语法格式，具体如下：

Set-Cookie：user=itcast；Path=/；

在上述中，user表示Cookie的名称，itcast表示Cookie的值，Path表示Cookie的属性。Cookie必须以键值对的形式存在，其属性可以有多个，但是这些属性之间必须用分号和空格分隔

5.2.2 Cookie API

为了封装Cookie信息，在Servlet API中提供了一个javax.servlet.http.Cookie类，该类包含了生成Cookie信息和提取Cookie信息的各种属性的方法

1.构造方法：Cookie类有且仅有一个构造方法，具体语法格式如下：

在Cookie的构造方法中，参数name用于指定Cookie的名称，value用于指定Cookie的值。Cookie一旦创建，它的名称就不能更改，Cookie的值可以为任何值，创建后允许被修改

2.Cookie类的常用方法：通过Cookie的构造方法创建Cookie对象后，便可调用该类的所有方法

Cookie类的常用方法，大多数的方法都比较简单，在这里只针对比较难理解的方法进行讲解，具体如下：

1）setMaxAge(int expiry)和getPath()方法：这两个方法用于设置和返回Cookie在浏览器上保存有效的秒数。如果设置值为一个正整数时，浏览器会将Cookie信息保存在本地硬盘中，从当前时间开始，在没有超过指定的秒数之前，这个Cookie都保持有效，并且同一台计算机上允许的该浏览器都可以使用这个Cookie信息。如果设置值为负整数时，浏览器会将Cookie信息保存在缓存中，当浏览器关闭时，Cookie信息会被删除。如果设置值为0时，则表示通知浏览器立即删除这个Cookie信息。默认情况下，Max-Age属性的值是-1

2）setPath(String uri)和getPath()方法：这两个方法是针对Cookie的Path属性的。如果创建的某个Cookie对象没有设置Path属性，那么该Cookie只对当前访问路径所属的目录及其目录有效。如果想让某个Cookie项对站点的所有目录下的访问路径都有效，应调用Cookie对象的setPath()方法将其Path属性设置为"/"

5.3 Session对象

Session对象：是一种将会话数据保存到服务器端的技术
Cookie技术可以将用户的信息保存在各自的浏览器中，并且可以在多次请求下实现数据的共享。但是如果传递的信息比较多，使用Cookie技术显然会增大服务器端程序处理的难道，这时可以使用Session技术

5.3.1 什么是Session

当人们去医院就诊时，就诊病人需要办理医院的就诊卡，该卡上只有卡号，而没有其他信息。但病人每次去该医院就诊时，只要出示就诊卡，医务人员便可根据卡号查询到病人的就诊信息。Session技术就好比医院发放给病人的就医卡和医院为每个病人保留病例档案过程。当浏览器访问Web服务器时，Servlet容器就会创建一个Session对象和ID属性，其中，Session对象就相当于病历档案，ID相当于就诊卡号。当客户端后续访问服务器时，只要标识号传递给服务器，服务器就能判断出该请求是哪个客户端发送的，从而选择与之对应的Session对象为其服务

注意：由于客户端需要接收，记录和回送Session对象的ID，因此，通常情况下，Session是借助Cookie技术来传递ID属性的

5.3.2 HttpSession API

Session是与每个请求消息紧密相关的，为此，HttpServletRequest定义用于获取Session对象的getSession()方法，该方法有两种重载形式，具体如下：

第1个：public HttpSession getSession(boolean create)
第2个：public HttpSession getSession()

上面重载的两个方法都用于返回与当前请求相关的HttpSession对象。不同的是：第1个getSession()根据传递的参数来判断是否创建新的HttpSession对象，如果参数为ture,则在相关的HttpSession对象不存在时创建并返回新的HttpSession对象，否则不创建新的HttpSession对象，而是返回null。第2个getSession()方法则相当于第1个方法参数为true时的情况，在相关的HttpSession对象不存在时总是创建新的HttpSession对象。注意：由于getSession()方法可能会产生发送会话标识号的Cookie头字段，因此，必须在发送任何响应内容之前调用getSession()方法

想要使用HttpSession对象管理会话数据，不仅需要获取到HttpSession对象，还需要了解HttpSession对象的相关方法

5.3.3 Session超时管理

当客户端第1次访问某个能开启会话功能的资源时，Web服务器就会创建一个与该客户端对应的HttpSession对象。在HTTP协议中，Web服务器无法判断当前的客户端浏览器是否 还会继续访问，也无法检测客户端浏览器是否关闭。所以，即使客户端已经离开或关闭浏览器，Web服务器还要保留与之对应的HttpSession对象。随着时间的推移，这些不再使用的HttpSession对象会在Web服务器中积累的越来越多，从而使Web服务器内存耗尽
为了解决上述问题，Web服务器采用了“超时限制”的办法来判断客户端是否还在继续访问。在一定时间内，如果某个客户端一直没有请求访问，那么，Web服务器就会认为该客户端已经结束请求，并且将与该客户端会话所对应的HttpSession对象变成垃圾对象，等待垃圾收集器将其从内存彻底清除。反之，如果浏览器超时后，再次向服务器发出请求访问，那么Web服务器则会创建一个新的HttpSession对象，并为其分配一个新的ID属性
在会话过程中，会话的有效时间可以在web.xml文件中设置，其默认值由Servlet容器定义。在<Tomcat安装目录>\conf\web.xml文件中，可以找到如下一段配置信息：

<session-config>
	<session-timeout>30</session-timeout>
</session-config>

在上面配置信息中，设置的时间是以分钟为单位的，即Tomcat服务器的默认会话超时间隔为30分钟。如果将<session-timeout>元素中的时间值设置成0或一个负数，则表示会话永不超时。由于<Tomcat安装目录>\conf\web.xml文件对站点内所有Web应用程序都起作用，因此，如果向单独设置某个Web应用程序的会话超时间隔，则需要在自己应用的web.xml文件中进行设置。注意：要想使Session失效，除了可以等待会话时间超时外，还可以通过invalidate()方法强制使会话失效

URL重写机制：是将Session的会话标识号以参数的形式附加在超链接的URL地址后面。对于Tomcat服务器来说，就是将JSESSIONID关键字作为参数名以及会话标识号的值作为参数值附加到URL地址后面。用于保存用户的会话信息

在HttpServletResponse接口中，定义了两个用于完成URL重写的方法，具体如下：

• encodeURL(String url)：用于对超链接和From表单的action属性中设置的URL进行重写
• encodeRedirectURL( String url)：用于对要传递给HttpServletResponse.sendRedirect方法的URL进行重写