Java Web __ Servlet会话及其会话技术

会话概述

Web应用中的会话过程类似于生活中的打电话过程，
它指的是一个客户端（浏览器）与Web服务器之间连续发生的一系列请求和响应过程。

例如:
一个用户在某网站上的整个购物过程就是一个会话。用户甲和乙分别登录了购物网站，甲购买了一个Nokia手机，乙购买了一个Ipad，当这两个用户结账时，Web服务器需要对用户甲和乙的信息分别进行保存。

为了保存会话过程中产生的数据，在Servlet技术中，提供了两个用于保存会话数据的对象，分别是Cookie和Session。

Cookie对象

Cookie概述

在Web应用中当用户通过浏览器访问Web服务器时，服务器会给客户发送一些信息，这些信息都保存在Cookie中。
这样，当该浏览器再次访问服务器时，都会在请求头中将Cookie发送给服务器，方便服务器对浏览器做出正确的响应。

实现：
服务器向客户端发送Cookie时，会在HTTP响应头字段中增加Set-Cookie响应头字段。
Set-Cookie头字段中设置的Cookie遵循一定的语法格式，具体示例如下：
Set-Cookie: user=itcast; Path=/;

• user表示Cookie的名称，
• itcast表示Cookie的值，
• Path表示Cookie的属性。
  注意： Cookie的属性可以有多个，属性之间必须用分号(;)和空格分隔。

Cookie在浏览器和服务器之间的传输过程

1. 当用户第一次访问服务器时，服务器会在响应消息中增加Set-Cookie头字段，将用户信息以Cookie的形式发送给浏览器。
2. 一旦用户浏览器接受了服务器发送的Cookie信息，就会将它保存在浏览器的缓冲区中，
3. 当浏览器后续访问该服务器时，都会在请求消息中将用户信息以Cookie的形式发送给Web服务器，
   从而使服务器端分辨出当前请求是由哪个用户发出的。

Cookie API

为了封装Cookie信息，在Servlet API中提供了一个javax.servlet.http.Cookie类，该类包含了：
生成Cookie信息和提取Cookie信息各个属性的方法。

构造方法
Cookie类有且仅有一个构造方法：
public Cookie(java.lang.String name , java.lang.String value)

• 参数name用于指定Cookie的名称
• value用于指定Cookie的值

注意：

1. Cookie一旦创建，它的名称就不能更改，
2. Cookie的值可以为任何值，创建后允许被修改。

常用方法

1. setMaxAge(int expiry)和getMaxAge()方法：设置和返回Cookie在浏览器上保持有效的秒数。
   如果设置的值为一个正整数时，浏览器会将Cookie信息保存在本地硬盘中。从当前时间开始，在没有超过指定的秒数之前，这个Cookie都保持有效，并且同一台计算机上运行的该浏览器都可以使用这个Cookie信息。
   如果设置值为负整数时，浏览器会将Cookie信息保存在的缓存中，当浏览器关闭时，Cookie信息会被删除。
   如果设置值为0时，则表示通知浏览器立即删除这个Cookie信息。
   默认情况下，Max-Age属性的值是-1。

2. setPath(String uri)和getPath()方法：设置和返回Cookie的Path属性。
   如果创建的某个Cookie对象没有设置Path属性，那么该Cookie只对当前访问路径所属的目录及其子目录有效。
   如果想让某个Cookie项对站点的所有目录下的访问路径都有效，应调用Cookie对象的setPath()方法将其Path属性设置为“/”。

3. setDomain(String pattern)和getDomain()方法：设置和返回Cookie的Domain属性。
   Domain属性是用来指定浏览器访问的域。例如，传智播客的域为“itcast.cn”。那么，当设置Domain属性时，其值必须以“.”开头，如Domain=.itcast.cn。
   默认情况下，Domain属性的值为当前主机名，浏览器在访问当前主机下的资源时，都会将Cookie信息回送给服务器。需要注意的是，Domain属性的值是不区分大小写的。

注意
由于浏览器的每个站点最多只能存放20个Cookie，因此，在创建Cookie对象时，一般都会设置它的路径

Session对象

Session概述

当创建Session时，Servlet容器会创建ID属性和Session对象：

• ID属性用于区别客户端的唯一标识；存放在客户端
• Session对象存储上面Cookie存储的内容；存放在服务器

如果session已经建立，当客户端访问服务器时，只要将标识号传递给服务器，服务器就能判断出该请求是哪个客户端发送的，从而选择与之对应的Session对象为其服务。

这样可以解决Cookie内容过大时，来回传递浪费资源和使响应过慢的问题。

以网站购物为例来描述Session保存用户信息的原理：

注意

1. 由于客户端需要接收、记录和回送Session对象的ID，因此，通常情况下，Session是名为JSESSIONID的Cookie来传递ID属性的。
2. Session中能够存储复杂的Java对象，而不仅仅是字符串。
3. 如果客户端不支持Cookie，或者禁用了Cookie，仍然可以通过使用URL重写来使用Session。

HttpSession API

Session是与每个请求消息紧密相关的，为此HttpServletRequest定义了用于获取Session对象的getSession()方法
该方法有两种重载形式：

1. public HttpSession getSession(boolean create)
   该方法根据传递的参数来判断是否创建新的HttpSession对象，如果参数为true，则在相关的HttpSession对象不存在时创建并返回新的HttpSession对象，否则不创建新的HttpSession对象，而是返回null。

2. public HttpSession getSession()
   该方法则相当于上一个方法参数为true时的情况，在相关的HttpSession对象不存在时总是创建新的HttpSession对象。
   需要注意的是，由于getSession()方法可能会产生发送会话标识号的Cookie头字段，因此必须在发送任何响应内容之前调用getSession()方法。

常用方法

Session超时管理

Web服务器采用了“超时限制”的办法来判断客户端是否还在继续访问。
在一定时间内，如果某个客户端一直没有请求访问，那么，Web服务器就会认为该客户端已经结束请求，并且将与该客户端会话所对应的HttpSession对象变成垃圾对象，等待垃圾收集器将其从内存中彻底清除。

在会话过程中，会话的有效时间可以在web.xml文件中设置，其默认值由Servlet容器定义。
在<tomcat安装目录>\conf\web.xml文件中，可以找到如下一段配置信息：

<session-config>
<session-timeout>30</session-timeout>
</session-config>

在上面的配置信息中，设置的时间值是以分钟为单位的，即Tomcat服务器的默认会话超时间隔为30分钟。

如果将<session-timeout>元素中的时间值设置成0或一个负数，则表示会话永不超时。
由于<tomcat安装目录>\conf\web.xml文件对站点内的所有Web应用程序都起作用，因此，如果想单独设置某个Web应用程序的会话超时间隔，则需要在自己应用的web.xml文件中进行设置。

注意
要想使Session失效，除了可以等待会话时间超时外，还可以通过invalidate()方法强制使会话失效。