白话讲session

什么是session

Session一般译作会话,牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session,它有着类似但不全然相同的含义。比如,在web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用的开发者开来,用户登录时我需要创建一个数据结构以存储用户的登录信息,这个结构也叫做session。因此在谈论session的时候要注意上下文环境。

为什么用session

session用来解决http无状态的问题

什么是无状态?

  • 设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。那个时候没有动态页面技术,只有纯粹的静态HTML页面,因此根本不需要协议能保持状态;每一次请求之间并没有联系。
  • 用户在收到响应时,往往要花一些时间来阅读页面,因此如果保持客户端和服务端之间的连接,那么这个连接在大多数的时间里都将是空闲的,这是一种资源的无端浪费。所以HTTP原始的设计是默认短连接,即客户端和服务端完成一次请求和响应之后就断开TCP连接,服务器因此无法预知客户端的下一个动作,它甚至都不知道这个用户会不会再次访问,因此让HTTP协议来维护用户的访问状态也全然没有必要;
  • 讲一个故事:楼下老王的烧烤档生意很好,每天都人山人海,大胖隔三差五就去一次,大胖很喜欢撸串,人人都知道,就连老王都知道(老王不知道大胖长什么样),老王也想想给大胖这样的客户打个折。每次买单的时候,都跟老王说,打个折行不行,老王说不行,大胖说我经常来,老王说我知道大胖这个人经常来,但是我不知道大胖是谁,每天都有客人,我哪里知道谁是大胖,大胖心里忒不爽。在这里,大胖就好比一个用户,老王就好比服务器,老王知道大胖这个人常来(服务器存储了用户的信息),"打折"这个要求就类似于用户发送的一个请求,老王并不知道是哪个人想要打折(服务器不知道这次请求是要对谁执行),必须要要有一个证明,证明这个人是大胖。

无状态会有什么问题?

我们每次发送请求给服务器,服务器并不知道你是谁,如果涉及到数据库操作,要对修改某一个用户的信息,那么这儿时候该对修改谁的?就像老王并不知道刚进店里的那个胖子是大胖,那么就没办法给他打折了,难不成给几年不来一次的小瘦也打折。

怎么解决无状态?

于是协商之下,决定办一张大胖特有的会员卡,下次买单的时候,老王依然对大胖没有印象。大胖心想,早预料到你这样说了,然后从裤兜里掏出会员卡,给!老王,老王把卡上的号码和本子一对,确实是这个人。哈哈,胖爷,原来是你,老王二话不说就给大胖打了折,然后大胖咬着牙签,大遙大摆地走了。但是其实,老王记性还不是很好,每次都要对卡号才知道谁是大胖。

怎么用session(实现自动登录)

因为请求是无状态的,所以每次请求,我们都需要出示证明。
比如说我想跳过登录,直接访问主页,我们会发现,我们会跳回到登陆页。
后台:


@WebServlet("/Login")
public class Login extends HttpServlet {
	private static final long serialVersionUID = 1L;
	protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		// TODO Auto-generated method stub
		String username=request.getParameter("username");
		String password=request.getParameter("password");
                //登录成功会给session对象设置标志
		if(username.equals("123")&&password.equals("123"))
			request.getSession().setAttribute("user", "usernmae");
		
		response.sendRedirect("index.jsp");
	}

	protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
		doGet(request, response);
	}

}

登录成功后,服务器会为这个session对象做一个标记(比如在这里给这个session设置了一个属性,登录成功就设置)

我们试着不登录直接访问index.jsp,发现会跳转到login.html。

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<% 
	Object user=session.getAttribute("user");
	if(user==null)
		response.sendRedirect("login.html");
%>
<html>
<head>
<meta http-equiv="Content-Type" content="text/html; charset=UTF-8">
<title>index.jsp</title>
</head>
<body>
登录进来了
</body>
</html>

分析一下这个过程:

从图上发现发送登录请求的时候,同时发送了cookie,服务器根据这个sessionid找到对应的session(无论你有没有登录成功,服务器都会对应创建一个session对象),然后查找有没有这个session对象是否正确登录了(比如正确登录后会在这个session对象设置“user"属性,那么我们就知道来的这个人是大胖了),如果没有就跳回登录页。
也就是说,这个发送证明的过程不用我们来做,浏览器帮我们做好了,但是浏览器要存储这个证明(cookie)。

后面会继续更新关于cookie的总结,会把session和cookie进行对比。

我觉得分享是一种精神,分享是我的乐趣所在,不是说我觉得我讲得一定是对的,我讲得可能很多是不对的,但是我希望我讲的东西是我人生的体验和思考,是给很多人反思,也许给你一秒钟、半秒钟,哪怕说一句话有点道理,引发自己内心的感触,这就是我最大的价值。(这是我喜欢的一句话,也是我写博客的初衷)

posted @ 2017-05-22 08:36  jiajun_geek  阅读(2927)  评论(2编辑  收藏  举报