疯狂java


您现在的位置: 疯狂软件 >> 新闻资讯 >> 正文

通过Cookie跟踪Session


 

 
   由于Session是服务端对象,浏览器要想使用某个服务端的Session对象,就必须在请求消息中包含该Session对象的SessionID。该SessionID一般被放到HTTP请求消息头的Cookie字段中,Cookie名称是JSESSIONID。下面的例子揭示了通过Cookie来跟踪Session的底层技术,读者可以从该例子中充分了解Cookie和Session的关系。
 
例子 : 通过Cookie跟踪Session
1.  实例说明
 
        本例中的Servlet类的主要功能是将SessionID保存在临时Cookie或永久Cookie中。并且在不同的浏览器窗口中访问该Servlet。如果SessionID被保存在了永久Cookie中,当在新的浏览器窗口中,也同样可以通过SessionID访问HttpSession对象。而如果将SessionID保存在临时Cookie中,在新的浏览器窗口中,由于SessionID丢失,所以就无法找到并访问该HttpSession对象了。
 
2.  编写CookieSession类
 
package chapter5;
import java.io.*;
import javax.servlet.*;
import javax.servlet.http.*;
public class CookieSession extends HttpServlet
{
    public void service(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException
    {
        response.setContentType("text/html; charset=UTF-8");
        //  获得save请求参数
        Object save = request.getParameter("save");
        // 当HTTP请求消息头包含JSESSIONID时,查找并或得这个HttpSession对象
        // 否则,创建一个新的HttpSession对象
        HttpSession session = request.getSession();
        PrintWriter out = response.getWriter();
    // 已经新建立了一个Session对象
        if (session.isNew()) 
        {
            // 设置Session属性值,可以为其设置任何对象,在这里设置了一个字符串
            session.setAttribute("mySession", "Session信息");
        // 设置Session有效时间,2小时
            session.setMaxInactiveInterval(2 * 60 * 60); 
            out.println("新会话已经建立<br/>");
             // 将SessionId持久化,也就是说,将这个SessionId保存在永久Cookie中
            if (save != null)
            {
                Cookie cookie = new Cookie("JSESSIONID", session.getId());
        //  Cookie的有效期是2小时
                cookie.setMaxAge(2 * 60 * 60);  
                cookie.setPath(request.getContextPath());
                response.addCookie(cookie);
                session.setAttribute("mySession", "这个Session Id从Cookie获得");
                out.println("SessionId已经被保存在Cookie中:Session Id = " + session.getId());
            }
        }
    // 找到了HttpSession对象,输出Session属性值
        else 
        {
            out.println("会话属性值:" + session.getAttribute("mySession"));
     }
    }
}
从上面的代码可以看出,CookieSession通过一个save请求参数来决定是否将SessionID保存在永久Cookie中,如果存在save参数(save参数可以是任何值),则将SessionID使用JSESSIONID作为key值保存在了永久Cookie中,有效期为2小时。也就是说,在2小时之内,都可以使用找到并使用该HttpSession对象(除非手动删除本机的Cookie或关闭浏览器的Cookie功能)。
3.  配置CookieSession类
 
CookieSession类的配置代码如下:
 
<servlet>
    <servlet-name>CookieSession</servlet-name>
    <servlet-class>chapter5.CookieSession</servlet-class>
</servlet>
 
<servlet-mapping>
    <servlet-name>CookieSession</servlet-name>
    <url-pattern>/CookieSession</url-pattern>
</servlet-mapping>
4.  在同一个浏览器窗口使用Session
 
在浏览器地址栏中输入如下的URL:
 
http://localhost:8080/demo/CookieSession
当首次访问上面的URL时,会在浏览器中显示“新会话已经建立”信息,当再次刷新页面时,就会显示“会话属性值:Session信息”,这说明已经找到Session了,并将Session属性的值取出。
 
5.  在新的浏览器窗口中使用Session
 
        打开一个新的浏览器窗口,并输入上面的URL,仍然会显示“新会话已经建立”,表明在第4步建立的HttpSession对象在浏览器中的SessionID已经丢失,在这一步在服务端又重新建立了一个HttpSession对象。
 
6.  使用永久Cookie来保存SessionID
 
在浏览器地址栏中输入如下的URL:
 
http://localhost:8080/demo/CookieSession?save
在首次访问上面的URL时,浏览器中会显示如下的信息:
 
新会话已经建立
 
SessionId已经被保存在Cookie中:Session Id = 86311792B79503506337BDED51117B3D
 
        打开一个新的浏览器窗口,再次输入上面的URL,就会显示“会话属性值:这个Session Id从Cookie获得”。这说明由于SessionID保存在永久Cookie中,在新的浏览器窗口中该SessionID仍然可用,因此,当再次访问上面的URL时,仍然可以找到HttpSession对象,所以在浏览器中会输出“会话属性值:这个Session Id从Cookie获得”信息。
 
7.  程序总结
 
        在CookieSession类中通过save请求参数将SessionId保存在永久Cookie中。这样当关闭浏览器,甚至关闭计算机后,再打开计算机和浏览器时,仍然可以通过保存在硬盘上的SessionId找到相应的Session对象。
 
        也许读者会有一个疑虑,将JSESSIONID作为永久Cookie保存后,在同一个浏览器窗口中,再次发出的HTTP请求头可能会有两个JSESSIONID值,虽然它们的值是一样的,但它们一个是临时Cookie,另一永久Cookie。不过这并不会对定位HttpSession对象有任何影响。服务端只取第一个JSESSIONID的值。
 
根据本例中的代码,可以将Session的原理总结如下:
 
        一个Session实际上就是服务端的一个对象。我们可以想象,将服务端所有的Session对象放到一个Map中,那么可以找到某一个Session最容易的方法就是通过Key。而对于Session来说,这个唯一标识Session的Key叫做SessionId。从而可以得知,客户端要想找到属性自己的Session,就必须要知道这个Session的SessionId。
 
        因此,在服务端第一次为某个客户端建立HttpSession对象时,会将这个HttpSession对象的SessionId通过HTTP响应消息头的Set-Cookie字段发送给客户端,格式如下:
 
Set-Cookie: JSESSIONID=4AD2607EF8A91F9EA8AC82B48851EED7; Path=/demo
        其中JSESSIONID表示一个SessionId值,也就是一个临时Cookie的值(因为未设置Cookie有效时间,所以JSESSIONID是一个临时Cookie),而Path是由系统自动设置的,该值也可以通过setPath方法进行修改。一般path属性的值是当前Web应用程序的上下文路径。
 
当浏览器检测到HTTP响应消息头包含一个名为JSESSIONID的Cookie后,就会认为服务端已经建立了一个新的HttpSession对象。然后在同一个浏览器窗口再次访问Web应用程序时,就会在HTTP响应消息头中带上Cookie字段,格式如下:
 
Cookie: JSESSIONID=4AD2607EF8A91F9EA8AC82B48851EED7
当服务端检测到HTTP请求消息头的Cookie字段中有名为JSESSIONID的Cookie时,并在保存Session对象的Map对象中查找。如果找到了这个HttpSession对象,就会返回这个HttpSession对象。如果未找到和JSESSIONID对应的HttpSession对象(未找到的原因有很多,可能是客户端发送虚假的SessionId,也可能是Session过期被释放了),服务端有以下两种选择:
 
(1)建立一个新的HttpSession对象
 
(2)不创建HttpSession对象,getSession方法返回null。
 
        从上面的描述可以看出,所谓Session,就相当于服务端的Map对象中的一个元素,然后通过在HTTP响应消息头和请求消息头中传递SessionId的方式将浏览器和Session联系起来。如果SessionId丢失,那么浏览器就无法找到这个Session,从浏览器的表现来看,有点象Session被删除了,但从内部实现来看,客户端是无法干预Session的创建和删除的。也就是说,客户端可能找不到某个Session,但该Session仍然存在于服务端(直到过期被Servlet引擎删除)。