目录

一：web应用的session机制

二：session的实现原理

---

一：web应用的session机制

（1）什么是会话？

①会话对应的英语单词：session

②用户打开浏览器，进行一系列操作，然后最终将浏览器关闭，这个整个过程叫做：一次会话。会话在服务器端有一个对应的java对象，这个java对象叫做：session。

③什么是一次请求：用户在浏览器上点击了一下，然后到页面停下来，可以粗略认为是一次请求。请求对应的服务器端的java对象是：request。

④一个会话当中包含多次请求。（一次会话对应N次请求）

（2）session对应的类名：HttpSession（javax.servlet.http.HttpSession）

①session机制属于B/S结构的一部分。如果使用php语言开发WEB项目，同样也是有session这种机制的。session机制实际上是一个规范。然后不同的语言对这种会话机制都有实现。

②session对象最主要的作用是：保存会话状态。（用户登录成功了，这是一种登录成功的状态，怎么把登录成功的状态一直保存下来？使用session对象可以保留会话状态）

（3）为什么需要session对象来保存会话状态呢？

①因为HTTP协议是一种无状态协议。

②什么是无状态：请求的时候，B和S是连接的，但是请求结束之后，连接就断了。HTTP协议为什么要设计成这样？因为这样的无状态协议，可以降低服务器的压力。请求的瞬间是连接的，请求结束之后，连接断开，这样服务器压力小。

③只要B和S断开了，那么关闭浏览器这个动作，服务器知道吗？

   不知道，服务器是不知道浏览器关闭的！

（4）理解session

（1）request 和 session都是服务器端的java对象，都在JVM当中
（2）request对象代表了一次请求（一次请求对应一个request对象）
         session对象代表了一次会话（一次会话对应一个session对象，可能会有多个请求）

（3）调用request对象的getSession()方法，可以获取session对象！

（4）当我们打开浏览器，发出http://localhost:8080/servlet12/请求，就可以获取session对象；如果在当前浏览器在开一个新的窗口，再次发出http://localhost:8080/servlet12/请求；得到的实际上是同一个session对象。只有浏览器关闭，重新打开浏览器再访问时，得到的才是新的session对象！

index.html

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>session test</title>
</head>
<body>
    <a href="/servlet12/test/session">测试session</a>
</body>
</html>

对应的servlet类

package com.bjpowernode.javaweb.servlet;

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
import java.io.PrintWriter;

/**
 * @Author：朗朗乾坤
 * @Package：com.bjpowernode.javaweb.servlet
 * @Project：JavaWeb
 * @name：TestSessionServlet
 * @Date：2022/11/29 11:20
 */
@WebServlet("/test/session")
public class TestSessionServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
       
        response.setContentType("text/html;charset=UTF-8");
       // 获取session对象
       // 从web服务器当中获取session对象，如果session对象不存在，则新建
        HttpSession session = request.getSession()
        // 输出session对象到浏览器
        PrintWriter out  = response.getWriter();
        out.print(session);
        
    }
}

（5）为什么不使用request对象和ServletContext对象保存会话状态？

①setAttribute()存，getAttribute()取；request请求域、ServletContext应用域、session会话域都有这两个方法。

②request是一次请求一个对象，域太小！

③ServletContext对象是服务器启动的时候创建，服务器关闭的时候销毁，ServletContext对象只有一个；ServletContext对象的域太大！

（6）request < session < application

request请求域（HttpServletRequest）

session会话域（HttpSession）

application应用域（ServletContext）

用一个购物车的例子来理解三者之间的域关系：
①request请求域：第一次放一个苹果在购物车；第二次再放一个西瓜在购物车，发现前面的苹果和购物车都没了；因为request是一次请求一个request对象；域范围很小！

②application应用域：相当于整个超市共用一个购物车，所有的人都可以把商品放到这个购物车里，域范围又太大了！

③session会话域：是每个人都有一个自己的购物车，这样就非常合适！

二：session的实现原理

①session对象表示一次会话，存储在服务端的，由服务器创建。当浏览器关闭时，session对象并不会立刻销毁，因为session是无状态协议(请求连接上后就断开了)，服务器并不知道关闭了浏览器；实际上服务器是使用一种session超时机制(一段时间没有发出请求)来销毁session对象。

②一个session对象对应一个会话，一次会话可以包含多次请求。

③session对象的获取：

HttpSession session = request.getSession();从服务器中获取当前对应的session对象，如果没有获取任何session对象，则新建！

HttpSession session = request.getSession(false);从服务器中获取当前对应的session对象，如果没有获取任何session对象，则不会新建，返回一个null！

④为什么每次都能准确的找到自己的session？因为存在一个session列表（Map集合），key是session的id，value是session的对象！

（1）session的实现原理（重点）

①web服务器中有一个session列表，类似于Map集合，这个Map集合的可以key存储的是session的id，value存储的是对应的session对象！

②用户第一次发送请求：服务器端创建一个新的session对象，同时给session对象生成一个id，然后web服务器会将session对象的id发送给浏览器，浏览器将session的id保存在浏览器的缓存当中。

③用户第二发送请求：会自动将浏览器缓存中的session的id自动发送给服务器，服务器获取到session的id，然后从session列表中查，找到对应的session对象。

（2）所以理解了关闭浏览器、打开新的浏览获取到的session对象就不同了

本质上是因为缓存的问题！

①生成的id是保存在浏览器的缓存当中，当浏览器关闭缓存的id就没了；没有key拿不到对应的value；自然找不到服务器中对应的session对象，session对象找不到等同于会话结束；所以只能新建一个session对象！

②会话：session对象从创建到死亡的过程，就是一次会话！

（3）session对象的销毁

①超时机制销毁：浏览器关闭的时候（浏览器没关闭超时会话也会结束），服务器是不知道的，服务器无法检测到浏览器关闭了，所以session对象的销毁要依靠session超时机制。

②手动销毁：系统提供了“安全退出按钮”，用户点击这个按钮，服务器就知道你退出了，然后服务器会自动销毁session对象。

注：session的超时时长是可以在web.xml文件当中进行配置(默认是30min)

<!--30分钟内没有被访问，session对象就会被销毁-->
<session-config>
        <session-timeout>30</session-timeout>
</session-config>

（4）通过调试窗口查看发送的请求

打开浏览器，F12键打开调试窗口，找到NetWork

①第一次发送请求：需要新创建一个session，生成一个id；服务器把id放到浏览器上，这属于响应（请求request里并没有id），监测响应response：

②第二次发送请求：此时id已经存到浏览器，此时二次请求会把浏览器的id发给服务器，这属于请求（response里并没有生成新的id）检测请求request：

 

（5）Cookie的禁用

①cookie禁用表示服务器还正常发送cookie给浏览器，但是浏览器选择不接收。并不是服务器不发了！

②浏览器---》设置---》隐私设置和安全性---》Cookie及其他网站数据，在这里面就可以选择阻止所有的Cookie；这样每一次请求都会获取到新的session对象（每次只能选择重新创建） 

③cookie禁用了，session机制也还能实现；需要使用URL重写机制 ：http://localhost:8080/servlet12/test/session;jsessionid= session的id URL重写机制会提高开发者的成本；在编写任何请求路径的时候，后面都要添加一个session的id，给开发带来了很大的难度，很大的成本。所以大部分的网站都是这样设计的：要是禁用cookie，就不能使用本网站！

总结session的实现原理：

（1）JSESSIONID=xxxxxx 实际上是以Cookie的形式保存在浏览器的内存中的，浏览器只要关闭这个cookie就没有了。

（2）session列表是一个Map，map的key是sessionid，map的value是session对象。

（3）用户第一次请求，服务器生成session对象，同时生成id，将id发送给浏览器。

（4）用户第二次请求，会自动将浏览器内存中的id发送给服务器，服务器根据id查找session对象。

（5）关闭浏览器，内存消失，cookie消失，sessionid消失，会话等同于结束。