关于B/S结构系统的会话机制

1. 什么是会话？42

  – 会话对应的英语单词：session

  – 用户打开浏览器，进行一系列操作，然后最终将浏览器关闭，这个整个过程叫做：一次会话。会话在服务器端也有一个对应的java对象，这个java对象叫做：session。

  – 什么是一次请求：用户在浏览器上点击了一下，然后到页面停下来，可以粗略认为是一次请求。请求对应的服务器端的java对象是：request。

  – 一个会话当中包含多次请求。（一次会话对应N次请求。）

在java的servlet规范当中，session对应的类名：HttpSession（jarkata.servlet.http.HttpSession）

– session机制属于B/S结构的一部分。如果使用php语言开发WEB项目，同样也是有session这种机制的。session机制实际上是一个规范。然后不同的语言对这种会话机制都有实现。

1.1 session最主要的作用是  42

– session对象最主要的作用是：保存会话状态。（用户登录成功了，这是一种登录成功的状态，你怎么把登录成功的状态一直保存下来呢？使用session对象可以保留会话状态。）

2. 为什么需要session对象来保存会话状态呢？42

  – 因为HTTP协议是一种无状态协议。

  – 什么是无状态：请求的时候，B和S是连接的，但是请求结束之后，连接就断了。

2.1 为什么要这么做？HTTP协议为什么要设计成这样？

因为这样的无状态协议，可以降低服务器的压力。请求的瞬间是连接的，请求结束之后，连接断开，这样服务器压力小。

2.1.1 只要B和S断开了，那么关闭浏览器这个动作，服务器知道吗？

    – 不知道。服务器是不知道浏览器关闭的。

– 张三打开一个浏览器A，李四打开一个浏览器B，访问服务器之后，在服务器端会生成：

  – 张三专属的session对象

  – 李四专属的session对象

2.1.2 为什么不使用request对象保存会话状态？为什么不使用ServletContext对象保存会话状态？  42

  – request.setAttribute()存，request.getAttribute()取，ServletContext也有这个方法。request是请求域。ServletContext是应用域。

 – request是一次请求一个对象。

  – ServletContext对象是服务器启动的时候创建，服务器关闭的时候销毁，这个ServletContext对象只有一个。

  – ServletContext对象的域太大。

– request请求域（HttpServletRequest）、session会话域（HttpSession）、application域（ServletContext）

  – request 

3. 思考一下：session对象的实现原理。42

  – HttpSession session = request.getSession();

  – 这行代码很神奇。张三访问的时候获取的session对象就是张三的。李四访问的时候获取的session对象就是李四的。

代码在com.bjpowernode.javaweb.servlet.包中   42

TestSessionServlet

package com.bjpowernode.javaweb.servlet;

import jakarta.servlet.ServletException;
import jakarta.servlet.annotation.WebServlet;
import jakarta.servlet.http.HttpServlet;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import jakarta.servlet.http.HttpSession;

import java.io.IOException;
import java.io.PrintWriter;

//解释session机制  42
@WebServlet("/test/session")
public class TestSessionServlet extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response)
            throws ServletException, IOException {
        // request和session都是服务器端的java对象。都在JVM当中。
        // request对象代表了一次请求。（一次请求对应一个request对象。两次请求就会对应两个不同的request对象。）
        // session对象代表了一次会话。（一次会话对应一个session对象。）
        // 获取session对象
        // 从WEB服务器当中获取session对象，如果session对象没有，则新建。
        HttpSession session = request.getSession();

        // 向会话域当中绑定数据。
        // session.setAttribute();
        // 从会话域当中取数据。
        // Object obj = session.getAttribute()

        //将session对象相应到浏览器
        response.setContentType("text/html;charset=UTF-8");
        PrintWriter out = response.getWriter();

        //想看看对象的内存地址
        //会话对象=org.apache.catalina.session.StandardSessionFacade@6b3bcb06
        out.print("会话对象="+session);

    }
}

index.html

    
    


测试session

3.1 session的实现原理：43

  – JSESSIONID=xxxxxx  这个是以Cookie的形式保存在浏览器的内存中的。浏览器只要关闭。这个cookie就没有了。

  – session列表是一个Map，map的key是sessionid，map的value是session对象。

  – 用户第一次请求，服务器生成session对象，同时生成id，将id发送给浏览器。

  – 用户第二次请求，自动将浏览器内存中的id发送给服务器，服务器根据id查找session对象。

  – 关闭浏览器，内存消失，cookie消失，sessionid消失，会话等同于结束。

3.1.2 session的实现原理详解  43

在web服务器中有一个session列表。 类似于map集合。

这个map集合的key存储的是sessionid

这个map集合的value存储的是对应的session对象

户发送第一次请求的时候:服务器会创建-个新的

session对象，同时给session对象生成-个id, 然后

web服务器:会将session的id发送给浏览器,浏览器将

session的id保存在浏览器的缓存中。

用户发送第二次请求的时候:会自动将浏览器缓存中的

sessionid自动发送给服务器，服务器获取到sessionid,

然后从session列表中查找到对应的session对象。

3.2 图解   43

1. session对象是存储在服务器端的。

2.一个session对象对应一个会话。

3. 一次会话中包含多次请求。

3.3 session怎么获取?  43

HttpSession session = request.getSession();

从服务器中获取当前的session对象。

如果没有获取到任何session对象，则新建。

HttpSession session = request.getSession(false):

从服务器中获取当前session对象,

如果获取不到session,则不会新建，返回一个null

3.4 session对象什么时候被销毁   43

一种销毁:是超时销毁。

一种销毁: 手动销毁。

3.5 为什么关闭浏览器，会话结束?   43

关闭浏览器之后，浏览器中保存的sessionid消失，下次重新打开浏览器之后,

浏览器缓存中没有这个sessionid,自然找不到服务器中对应的session对象。

session对象找不到等同于会话结束。

浏览器关闭的时候，服务器是不知道的，服务器无法监测到浏览器关闭了，所以session的销毁要依靠session超时机制。但也有一种可能，系统提供了“安全退出”户可以点击这个按钮，这样服务器就知道你退出了，然后服务器会自动销毁session对象。

4. Cookie禁用了，session还能找到吗？  43

  – cookie禁用是什么意思？服务器正常发送cookie给浏览器，但是浏览器不要了。拒收了。并不是服务器不发了。

  – 找不到了。每一次请求都会获取到新的session对象。

4.1 cookie禁用了，session机制还能实现吗？43

    – 可以。需要使用URL重写机制。

格式如下

http://localhost:8080/servlet12/test/session;jsessionid=19D1C99560DCBF84839FA43D58F56E16

    – URL重写机制会提高开发者的成本。开发人员在编写任何请求路径的时候，后面都要添加一个sessionid，给开发带来了很大的难度，很大的成本。所以大部分的网站都是这样设计的：你要是禁用cookie，你就别用了。

5. 总结一下到目前位置我们所了解的域对象：44

  – request（对应的类名：HttpServletRequest）

    – 请求域（请求级别的）

  – session（对应的类名：HttpSession）

    – 会话域（用户级别的）

  – application（对应的类名：ServletContext）

    – 应用域（项目级别的，所有用户共享的。）

  – 这三个域对象的大小关系

    – request 

  – 他们三个域对象都有以下三个公共的方法：

    – setAttribute（向域当中绑定数据）

    – getAttribute（从域当中获取数据）

    – removeAttribute（删除域当中的数据）

  – 使用原则：尽量使用小的域。

服务器托管，北京服务器托管，服务器租用 http://www.fwqtg.net
机房租用，北京机房租用，IDC机房托管， http://www.fwqtg.net

相关推荐: 限速神器RateLimiter源码解析 | 京东云技术团队

作者：京东科技 李玉亮 目录指引 限流场景 软件系统中一般有两种场景会用到限流： •场景一、高并发的用户端场景。 尤其是C端系统，经常面对海量用户请求，如不做限流，遇到瞬间高并发的场景，则可能压垮系统。 •场景二、内部交易处理场景。 如某类交易任务处理时有速率…