白话讲session
什么是session
Session一般译作会话,牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session,它有着类似但不全然相同的含义。比如,在web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用的开发者开来,用户登录时我需要创建一个数据结构以存储用户的登录信息,这个结构也叫做session。因此在谈论session的时候要注意上下文环境。
为什么用session
session用来解决http无状态的问题
什么是无状态?
- 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。那个时候没有动态页面技术,只有纯粹的静态HTML页面,因此根本不需要协议能保持状态;每一次请求之间并没有联系。
- 用户在收到响应时,往往要花一些时间来阅读页面,因此如果保持客户端和服务端之间的连接,那么这个连接在大多数的时间里都将是空闲的,这是一种资源的无端浪费。所以HTTP原始的设计是默认短连接,即客户端和服务端完成一次请求和响应之后就断开TCP连接,服务器因此无法预知客户端的下一个动作,它甚至都不知道这个用户会不会再次访问,因此让HTTP协议来维护用户的访问状态也全然没有必要;
- 讲一个故事:楼下老王的烧烤档生意很好,每天都人山人海,大胖隔三差五就去一次,大胖很喜欢撸串,人人都知道,就连老王都知道(老王不知道大胖长什么样),老王也想想给大胖这样的客户打个折。每次买单的时候,都跟老王说,打个折行不行,老王说不行,大胖说我经常来,老王说我知道大胖这个人经常来,但是我不知道大胖是谁,每天都有客人,我哪里知道谁是大胖,大胖心里忒不爽。在这里,大胖就好比一个用户,老王就好比服务器,老王知道大胖这个人常来(服务器存储了用户的信息),"打折"这个要求就类似于用户发送的一个请求,老王并不知道是哪个人想要打折(服务器不知道这次请求是要对谁执行),必须要要有一个证明,证明这个人是大胖。
无状态会有什么问题?
我们每次发送请求给服务器,服务器并不知道你是谁,如果涉及到数据库操作,要对修改某一个用户的信息,那么这儿时候该对修改谁的?就像老王并不知道刚进店里的那个胖子是大胖,那么就没办法给他打折了,难不成给几年不来一次的小瘦也打折。
怎么解决无状态?
于是协商之下,决定办一张大胖特有的会员卡,下次买单的时候,老王依然对大胖没有印象。大胖心想,早预料到你这样说了,然后从裤兜里掏出会员卡,给!老王,老王把卡上的号码和本子一对,确实是这个人。哈哈,胖爷,原来是你,老王二话不说就给大胖打了折,然后大胖咬着牙签,大遙大摆地走了。但是其实,老王记性还不是很好,每次都要对卡号才知道谁是大胖。
怎么用session(实现自动登录)
因为请求是无状态的,所以每次请求,我们都需要出示证明。
比如说我想跳过登录,直接访问主页,我们会发现,我们会跳回到登陆页。
后台:
@WebServlet("/Login")
public class Login extends HttpServlet {
private static final long serialVersionUID = 1L;
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
// TODO Auto-generated method stub
String username=request.getParameter("username");
String password=request.getParameter("password");
//登录成功会给session对象设置标志
if(username.equals("123")&&password.equals("123"))
request.getSession().setAttribute("user", "usernmae");
response.sendRedirect("index.jsp");
}
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doGet(request, response);
}
}
登录成功后,服务器会为这个session对象做一个标记(比如在这里给这个session设置了一个属性,登录成功就设置)
我们试着不登录直接访问index.jsp,发现会跳转到login.html。
<%@ page language="java" contentType="text/html; charset=UTF-8"
pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<%
Object user=session.getAttribute("user");
if(user==null)
response.sendRedirect("login.html");
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>index.jsp</title>
</head>
<body>
登录进来了
</body>
</html>
分析一下这个过程:
从图上发现发送登录请求的时候,同时发送了cookie,服务器根据这个sessionid找到对应的session(无论你有没有登录成功,服务器都会对应创建一个session对象),然后查找有没有这个session对象是否正确登录了(比如正确登录后会在这个session对象设置“user"属性,那么我们就知道来的这个人是大胖了),如果没有就跳回登录页。
也就是说,这个发送证明的过程不用我们来做,浏览器帮我们做好了,但是浏览器要存储这个证明(cookie)。