JavaWeb——session会话机制

29 关于B/S结构系统的会话机制（session机制）

29.1 关于会话

• 会话对应的英语单词：session
• 用户打开浏览器，进行一系列操作，然后最终将浏览器关闭，这个整个过程叫做：一次会话。会话在服务器端也有一个对应的java对象，这个java对象叫做：session。
• 什么是一次请求：用户在浏览器上点击了一下，然后到页面停下来，可以粗略认为是一次请求。请求对应的服务器端的java对象是：request。
• 一个会话当中包含多次请求。（一次会话对应N次请求。）

在java的servlet规范当中，session对应的类名：HttpSession（jarkata.servlet.http.HttpSession）

session机制属于B/S结构的一部分。如果使用php语言开发WEB项目，同样也是有session这种机制的。session机制实际上是一个规范。然后不同的语言对这种会话机制都有实现。

session对象最主要的作用是：保存会话状态。（用户登录成功了，这是一种登录成功的状态，你怎么把登录成功的状态一直保存下来呢？使用session对象可以保留会话状态。）

29.2 为什么需要session对象来保存会话状态呢？

• 因为HTTP协议是一种无状态协议。
• 什么是无状态：请求的时候，B和S是连接的，但是请求结束之后，连接就断了。为什么要这么做？HTTP协议为什么要设计成这样？因为这样的无状态协议，可以降低服务器的压力。请求的瞬间是连接的，请求结束之后，连接断开，这样服务器压力小。
• 只要B和S断开了，那么关闭浏览器这个动作，服务器知道吗？
  • 不知道。服务器是不知道浏览器关闭的。

张三打开一个浏览器A，李四打开一个浏览器B，访问服务器之后，在服务器端会生成：

• 张三专属的session对象
• 李四专属的session对象

29.3 为什么不使用request对象保存会话状态？为什么不使用ServletContext对象保存会话状态？

• request.setAttribute()存，request.getAttribute()取，ServletContext也有这个方法。request是请求域。ServletContext是应用域。
• request是一次请求一个对象。
• ServletContext对象是服务器启动的时候创建，服务器关闭的时候销毁，这个ServletContext对象只有一个。
• ServletContext对象的域太大。
• request请求域（HttpServletRequest）、session会话域（HttpSession）、application域（ServletContext）
• request < session < application

29.4 session对象的实现原理。

• HttpSession session = request.getSession();

• 这行代码很神奇。张三访问的时候获取的session对象就是张三的。李四访问的时候获取的session对象就是李四的。

• JSESSIONID=xxxxxx 这个是以Cookie的形式保存在浏览器的内存中的。浏览器只要关闭。这个cookie就没有了。

• session列表是一个Map，map的key是sessionid，map的value是session对象。

• 用户第一次请求，服务器生成session对象，同时生成id，将id发送给浏览器。

• 用户第二次请求，自动将浏览器内存中的id发送给服务器，服务器根据id查找session对象。

• 关闭浏览器，内存消失，cookie消失，sessionid消失，会话等同于结束。

29.5 Cookie禁用

• cookie禁用是什么意思？服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。
• session找不到了。每一次请求都会获取到新的session对象。
• cookie禁用了，session机制还能实现吗？
  • 可以。需要使用URL重写机制。
  • http://localhost:8080/servlet12/test/session;jsessionid=19D1C99560DCBF84839FA43D58F56E16
  • URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候，后面都要添加一个sessionid，给开发带来了很大的难度，很大的成本。所以大部分的网站都是这样设计的：你要是禁用cookie，你就别用了。

29.6 域对象：

• request（对应的类名：HttpServletRequest）
  • 请求域（请求级别的）
• session（对应的类名：HttpSession）
  • 会话域（用户级别的）
• application（对应的类名：ServletContext）
  • 应用域（项目级别的，所有用户共享的。）
• 这三个域对象的大小关系
  • request < session < application
• 他们三个域对象都有以下三个公共的方法：
  • setAttribute（向域当中绑定数据）
  • getAttribute（从域当中获取数据）
  • removeAttribute（删除域当中的数据）
• 使用原则：尽量使用小的域。

29.7 解决oa项目中的登录问题，让登录起作用。

• 登录成功之后，可以将用户的登录信息存储到session当中。也就是说session中如果有用户的信息就代表用户登录成功了。session中没有用户信息，表示用户没有登录过。则跳转到登录页面。

29.8 会话结束

​ 关闭浏览器之后，浏览器中保存的sessionid消失，下次重新打开浏览器之后，浏览器缓存中没有这个sessionid，自然找不到服务器中对应的session对象。session对象找不到等同于会话结束。

29.9 销毁session对象：

session对象什么时候被销毁？
一种销毁：是超时销毁。
一种销毁：是手动销毁。

session.invalidate();

​ 浏览器关闭的时候，服务器是不知道的，服务器无法检测到浏览器关闭了，所以session的悄毁要依靠session超时机制，但也有一种可能，系统提供了“安全退出”，用户可以点击这个按钮，这样服务题就知道你退出了，然后服务器会自动销毁session对象。
​ 注意：session对象销毁和session会话结束不同。