一、Session 会话机制原理
Session(会话)机制是一种在 Web 应用程序中用来跟踪用户状态的技术。它通过在服务器端存储和管理用户信息,为每个用户分配一个唯一的会话标识符(Session ID/Token),并将该标识符传递给客户端浏览器,在后续的请求中使用该标识符来关联用户与其数据。
在《HTTP协议》章节中介绍了Cookie是客户端在本地存储数据的一种机制。而Cookie的一种典型应用场景就是保存用户的身份标识,在这种场景下,对于身份标识的分配、存储就需要使用到了Session机制。
通常Session机制是和Cookie机制配合使用的,它的工作原理大体如下:
(1)客户端发送第一个请求到服务器。服务器接收到请求后,为该客户端创建一个唯一的会话标识符(Session ID),通常是一个长随机字符串。同时,创建一个对应的 Session 对象用来存储和管理会话信息。并将 Session ID 作为 Key,Session 对象作为 Value 存储在服务端的一个“哈希表”中。
(2)服务器使用Cookie机制,以响应头 Set-Cookie 方式,将创建的 Session ID 返回给客户端。
(3)客户端在后续的请求中,将会话标识符 Session ID 作为参数传递给服务器。服务器根据会话标识 Session ID 符找到对应的 Session 对象,从中获取和更新会话数据。
二、Servlet 中的 Session机制
在Servlet中针对Session也提供了一些方法上的支持:
1、HttpServletRequest 类提供的方法
| 方法 | 描述 |
|---|---|
| HttpSession getSession() | 在服务器中获取会话。如果参数为 true,当不存在会话时新建会话;如果参数为 false,当不存在会话时返回 null。 |
调用这个方法会做 3 件事:
- 读取请求中Cookie里面的Session ID。
- 在服务器端根据Session ID查询Session对象。
- 根据传递参数处理查询结果:
(1)getSession中有一个Boolean类型的参数,如果参数为 true,查到就直接返回对应的Session对象;如果没查到,会创建一个Session会话,同时将新生成的Session ID、和Session对象分别作为Key、Value存储到服务器端的“哈希表”中,同时会把Session ID以Set-Cookie的方式返回给客户端。
(2)如果参数为false,查到直接返回对应Session对象;如果没查到返回null。
2、HttpSession 类常用方法
一个 Session 对象里面包含多个键值对,可以认为Session对象也是一个哈希表:
| 方法 | 描述 |
|---|---|
| Object getAttribute(String name) | 该方法返回在该 session 会话中具有指定名称的对象,如果没有指定名称的对象,则返回 null。 |
| void setAttribute(String name, Object value) | 该方法使用指定的名称绑定一个对象到该 session 会话。 |
| removeAttribute(String name) | 从会话中移除指定名称的属性。 |
| invalidate() | 使当前会话无效,删除会话中的所有属性。 |
| boolean isNew() | 判定当前是否是新创建出的会话。 |
三、模拟实现登录功能
上述的Session机制常常用于登录场景,下面就使用Session机制实现一个简单的登录逻辑:
1、登录的前端代码
使用form表单提交数据,默认以application/x-www-form-urlencoded格式提交给服务器,之后可以通过 getParameter获取到指定的value。
<form action="login" method="post">
<input type="text" name="username">
<input type="password" name="password">
<input type="submit" value="提交">
</form>
2、使用 Servlet 完成登录的校验
// 这个类用来实现登录时的校验.
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
@Override
protected void doPost(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
// 1. 先从请求中拿到用户名和密码.
// 为了保证读出来的参数也能支持中文, 设置请求的编码方式是 utf8
req.setCharacterEncoding("utf8");
String username = req.getParameter("username");
String password = req.getParameter("password");
// 2. 验证用户名密码是否正确
if (username == null || password == null || username.equals("") || password.equals("")) {
resp.setContentType("text/html; charset=utf8");
resp.getWriter().write("当前输入的用户名或密码不能为空!");
return;
}
// 此处假定用户名只能是 lihua 密码都是 123456
// 正常的登录逻辑, 验证用户名密码都是从数据库读取的.
if (!username.equals("lihua") || !password.equals("123")) {
// 用户名或密码错误
resp.setContentType("text/html; charset=utf8");
resp.getWriter().write("用户名或密码有误");
return;
}
// 3. 用户名和密码验证成功, 接下来就创建一个会话:
// 当前用户处于未登录的状态, 此时请求的 cookie 中没有 sessionId
// 此处的 getSession 是无法从服务器的 哈希表 中找到该 session 对象的.
// 由于此处把参数设为 true 了, 所以就允许 getSession 在查询不到的时候,
// 创建新的 session 对象和 sessionId,
// 并且会自动的把这个 sessionId 和 session 对象存储的 哈希表 中.
// 同时返回这个 session 对象, 并且在接下来的响应中会自动把这个 sessionId 返回给客户端浏览器.
HttpSession session = req.getSession(true);
// 接下来可以让刚刚创建好的 session 对象存储我们的自定义的数据
session.setAttribute("username", username);
// 4. 登录成功之后, 自动跳转到 主页
resp.sendRedirect("index");
}
}
3、使用 Servlet 生成简单的主页面
// 这个 Servlet 用来动态的生成主页面.
@WebServlet("/index")
public class IndexServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest req, HttpServletResponse resp)
throws ServletException, IOException {
// 此处参数设置为false,禁止创建会话. 如果没找到, 认为用户是未登录的状态!!
HttpSession session = req.getSession(false);
if (session == null) {
// 未登录状态
resp.setContentType("text/html; charset=utf8");
resp.getWriter().write("当前用户未登录!");
return;
}
// 如果找到了才认为是登录状态,接下来验证session对象中的信息
String username = (String) session.getAttribute("username");
if (username == null) {
// 虽然有会话对象, 但是里面没有必要的属性, 也认为是登录状态异常.
resp.setContentType("text/html; charset=utf8");
resp.getWriter().write("当前用户未登录!");
return;
}
// 如果上述检查都通过, 接下来就直接生成一个动态页面
resp.setContentType("text/html; charset=utf8");
resp.getWriter().write("欢迎你! " + username);
}
}
下面是抓包的结果
初次登录时创建会话,把 Session ID 以 Set-Cookie 的方式返回给客户端。
访问主页时请求中携带 Session ID:
这里需要 注意 的是:上述的 Session ID 不会一直保存在服务端,因为服务器默认是把会话保存在内存中的,一但服务器重启,原有的会话就会销毁。
但是 Smart Tomcat 为了方便程序员调试,会在服务器停止的时候,将会话持久化保存,并在下次启动的时候将会话恢复到内存中。
