Session 原理:
session可以放在檔案、記憶體中或資料庫都可以,是以鍵值對的形式存盤,Session也是一種key-value的屬性對,
當程式需要為某個客戶端的請求創建一個session的時候,服務器首先檢查這個客戶端的請求里是否已包含了一個session標識,稱為session-id,如果已包含一個session id,則說明以前已經為此客戶端創建過session,服務器就按照session id把這個session檢索出來使用(如果檢索不到,可能會新建一個,根據getSeesion()方法的引數),如果客戶端請求不包含session id,則為此客戶端創建一個session并且生成一個與此session相關連的session id,這個session id將被在本次回應中回傳給客戶端保存,
Session的客戶端實作形式(即session id 的保存方法)
一般瀏覽器提供了3種方式來保存:
【1】使用Cookie來保存,這是最常見的方法,“記錄我的登錄狀態”功能的實作正是基于這種方式的,服務器通過設定Cookie的方式將session id 發送到瀏覽器,如果我們不設定過期時間,那么這個Cookie將不存放在硬碟上,當瀏覽器關閉的時候,Cookie就消失了,這個session id就丟失了,如果我們設定這個時間,那么這個Cookie會保存在客戶端硬碟中,即使瀏覽器關閉,這個值仍然存在,下次訪問相應網站時,同樣會發送到服務器上,
【2】URL重寫,就是把session id直接附加在URL路徑的后面,也就是像我們經常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的,
【3】在網頁表單里面增加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過GET方法發送資料,后者使用POST方式發送資料,但是明顯后者比較麻煩,
就是服務器會自動修改表單,添加一個隱藏欄位,一邊在表單提交時能夠把session id傳遞回服務器,比如:
1 <form name="testform" action="/xxx">
2 <input type="hidden" name="jsessionid"
3 value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBug!-145788764">
4 <input type="text">
5 </form>
session什么時候被創建?
一個常見的錯誤是以為session在有客戶端訪問時就被創建,然而事實是直到某server端程式(如Servlet)呼叫HttpServletRequest.getSession(true)這樣的陳述句時才會被創建,
session何時被洗掉?
session在下列情況下被洗掉:
A. 程式呼叫HttpSession.invalidate()
B. 距離上一次收到客戶端發送的session id時間間隔超過了session的最大有效時間
C. 服務器行程被停止
再次注意關閉瀏覽器只會使存盤在客戶端瀏覽器記憶體中的session cookie失效,不會使服務器端的session物件失效,
getSession()/getSession(true)、getSession(false)的區別
getSession()/getSession(true):當session存在時回傳該session,否則新建一個session并回傳該物件,
getSession(false):當session存在時回傳該session,否則不會新建session,回傳null,
Cookie 的機制:
Cookie的種類:
1、以檔案方式存在硬碟空間上的永久性的cookie,持久cookie是指存放于客戶端硬碟中的cookie資訊(設定了一定的有效期限),當用戶訪問某網站時,瀏覽器就會在本地硬碟上查找與該網站相關聯的cookie,如果該cookie存在,瀏覽器就將它與頁面請求以期通過HTTP報頭資訊發送到您的站點,然后在系統會比對cookie中各屬性和值是否與存放在服務器端的資訊一致,并根據比對結果確定用戶為“初訪者”或“老客戶”,
2、停留在瀏覽器所占記憶體中的臨時性的cookie,關閉 Internet Explorer 時即從計算機上洗掉,
Cookie 的有效期:
Cookie的maxAge決定著Cookie的有效期,單位為秒,
如果maxAge屬性為正數,則表示該Cookie會在maxAge秒之后自動失效,瀏覽器會將maxAge為正數的Cookie持久化,即寫到對應的Cookie檔案中,無論客戶關閉了瀏覽器還是電腦,只要還在maxAge秒之前,登錄網站時該Cookie仍然有效,下面代碼中的Cookie資訊將永遠有效,
1 Cookie cookie = new Cookie("username","helloweenvsfei");//新建Cookie
2 cookie.setMaxAge(Integer.MAX_VALUE);//設定生命周期為MAX_VALUE
3 response.addCookie(cookie);//輸出到客戶端
如果maxAge為負數,則表示該Cookie僅在本瀏覽器視窗以及本視窗打開的子視窗內有效,關閉視窗后該Cookie即失效,maxAge為負數的Cookie,為臨時性Cookie,Cookie資訊保存在瀏覽器記憶體中,因此關閉瀏覽器該Cookie就消失了,Cookie默認的maxAge值為-1.
如果maxAge為0,則表示洗掉該Cookie,Cookie機制沒有提供洗掉Cookie的方法,因此通過設定該Cookie即時失效實作洗掉Cookie的效果,失效的Cookie會被瀏覽器從Cookie檔案或者記憶體中洗掉,
例如:
1 Cookie cookie = new Cookie("username","helloweenvsfei");//新建Cookie
2 cookie.setMaxAge(0);//設定生命周期為0,表示洗掉cookie
3 response.addCookie(cookie);//必須執行這一句
Cookie的組成部分
Cookie在HTTP的頭部資訊中,
標準格式:Set-Cookie:NAME=VALUE; Expires=DATE; Path=PATH; Domain=DOMAIN_NAME; SECURE;
舉例說明:Set-Cookie:JSESSIONID=mysession; Expires=Thu; 05-Jun-20 08 05:02:50 GMT; Path=/web;
Cookie的Expires屬性標識了Cookie的有效時間,當Cookie的有效時間過了之后,這些資料就被自動洗掉了,若不設定過期時間,則表示這個cookie的生命期為瀏覽器會話期間,關閉瀏覽器視窗,cookie就消失,這種生命周期為瀏覽器會話期的cookie被稱為會話cookie(臨時性cookie),會話cookie保存在記憶體里,若設定了過期時間,瀏覽器就會把cookie保存到硬碟上,關閉后再次打開瀏覽器,這些cookie仍然有效直到超過設定的過期時間,存盤在硬碟上的cookie可以在不同的瀏覽器行程間共享,比如兩個IE視窗,
Cookie被瀏覽器禁用怎么辦?
cookie可以被人為地禁止,則必須有其他機制以便在cookie被禁止時仍然能夠把session id傳遞會服務器,
【1】URL重寫,就是把session id直接附加在URL路徑的后面,也就是像我們經常看到JSP網站會有aaa.jsp?JSESSIONID=*一樣的,
【2】在網頁表單里面增加隱藏域,這種方式實際上和第二種方式一樣,只不過前者通過GET方法發送資料,后者使用POST方式發送資料,但是明顯后者比較麻煩,
就是服務器會自動修改表單,添加一個隱藏欄位,一邊在表單提交時能夠把session id傳遞回服務器,比如:
1 <form name="testform" action="/xxx">
2 <input type="hidden" name="jsessionid"
3 value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBug!-145788764">
4 <input type="text">
5 </form>
Cookie 與 Session的區別
1、cookie資料存放在客戶端,用來記錄用戶資訊的,session資料放在服務器上,
2、正是由于Cookie存盤在客戶端中,對客戶端是可見的,客戶端的一些程式可能會窺探、復制甚至修改Cookie中的內容,而Session存盤在服務器上,對客戶端是透明的,不存在敏感資訊泄露的危險,
如果選用Cookie,比較好的方法是,敏感的資訊如賬號密碼等盡量不要寫到Cookie中,最好是像Google、Baidu那樣將Cookie資訊加密,提交到服務器后再進行解密,保證Cookie中的資訊只有自己能讀得懂,而如果選擇Session就省事多了,反正是放在服務器上,Session里任何隱私都可以,
3、Session是保存在服務器端的,每個用戶都會產生一個Session,如果并發訪問的用戶非常多,會產生非常多的Session,消耗大量的服務器記憶體,因此像Google、Baidu這樣并發訪問量極高的網站,是不太可能使用Session來追蹤客戶會話的,
而Cookie保存在客戶端,不占用服務器資源,如果并發瀏覽的用戶非常多,Cookie是很好的選擇,
4、cookie的容量和個數都有限制,單個cookie的容量不能超過4KB,很多瀏覽器都限制一個站點最多保存20個cookie,而session沒有此問題,
5、所以建議:將登錄資訊等重要資訊存放到SESSION中,其他資訊如果需要保留,可以放在COOKIE中,
Session 和 Cache 的區別
Session是但用戶的會話狀態,當用戶訪問網站時,產生一個SESSIONID,并存在于COOKIES中,每次向服務器請求時,發送這個COOKIES,再從服務器中檢索是否有這個SESSIONID保存的資料,而cache則是服務器端的快取,是所有用戶都可以訪問和共享的,因為從Cache中讀資料比較快,所以有些系統(網站)會把一些經常被使用的資料放到Cache中,提高訪問速度,優化系統性能,
如果有幾千個session,怎么提高效率?(當session訪問量比較大的時候,怎么解決?)
把session放到redis或memcache等此類記憶體快取中或把session存盤到SSD硬碟上,
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/24663.html
標籤:其他
上一篇:Socket編程