对于session,request,cookie的理解
session和request的生命周期
首先是session,比如我们在实现一个购物车功能时,在某一页面(这里称为页面A)选择了一些购物的商品,添加到购物车。那么当我们选择完成后点击我的购物车时会跳转到一个购物车页面(这里称为页面B),这和页面A是两个不同的页面,那么怎么讲页面A选取的商品添加到页面B呢。这里一种解决方案就是session。直接上一个demo了:
A.jsp页面:
<body>
<h1>A界面</h1>
<%
session.setAttribute("name","苹果");//这是jsp文件,如果是Servlet的话,先得获得Session,HttpSession hs=request.getSession(true);
%>
</body>
B.jsp页面:
<body>
<h1>B界面</h1>
<%
String name = (String) session.getAttribute("name");
%>
<p>Session的值为:<%=name%></p>
</body>
上面就达到了一个传值的目的,当然,我们谈的是session的生命周期,Tomcat里,默认的session生命周期是30min,也就是你不操作界面的时间,你一刷新界面的话,session会重新计时的,那么session的默认时间可以改么,答案是肯定的。可以在Tomcat目录下的conf文件下的web.xml进行修改,如下图所示,默认是30min,修改的话改个数值就行了:
当然我们每个应用程序的session可以自己设置生命周期,比如在A.jsp界面加句话就行了。
A.jsp页面:
<body>
<h1>A界面</h1>
<%
session.setAttribute("name", "苹果");//这是jsp文件,如果是Servlet的话,先得获得Session,HttpSession hs=request.getSession(true);
session.setMaxInactiveInterval(5);
%>
</body>
这里session.setMaxInactiveInterval(5);设置的是有效时间5秒,这里是以秒为单位的。
那么比如我从A界面跳转到B界面,B界面会显示Asession传过来的session内容,但是如果我5秒内没有动过B界面,那么再次刷新A界面时, 将不会再获得session内的值了,因为这个session失效了。
下面是request,request有两个方法:getParameter()和getAttribute()
现在有两个界面test1.jsp,test2.jsp,当我们在浏览器中输入http://127.0.0.1:8080/AA/test2.jsp时,一个request就产生了,也就是生命周期的开始。test1.jsp的request中,我们可以设置一些值,比如我在test1.jsp是这样设置的:
<body>
<h1>test1界面</h1>
<%
request.setAttribute("name", "hello");
%>
<a href="test2.jsp"></a>
</body>
上面setAttribue是在request中设置值的。那么问题来了,我们需要从test1.jsp界面跳转访问test2.jsp界面,是否test2.jsp界面中的request也保存test1.jsp中的request值呢?
一般来说有两种处理方式实现跳转,一种是response.sendRedirect,另一种是request.getRequestDispatcher("xxx.jsp").forward(request,response);
用第一种方法,那么test1.jsp中的request不会传递到test2.jsp。
用第二种方法,request的生命周期将延续下去,当采用forward如果到达JSP页面,那么之前从第一个JSP页面中发送出来的request的消息将仍然存在,新的页面同样能够取得该request里所包含的一些信息,比如之前的JSP发送request中所包含的参数信息。事实上,它们是同一个request。
这里注意一下:第二种方法中,如果在页面中通过setAttribute()设置一个Object值到request中,那么在另一个页面中可以通过getAttribute()来获得值,这里值是Object类型的。
下面是test1.jsp和test2.jsp页面的代码:
test1.jsp
<body>
<h1>test1界面</h1>
<%
request.setAttribute("name", "hello");
request.getRequestDispatcher("test2.jsp").forward(request, response);
%>
<a href="test2.jsp"></a>
</body>
test2.jsp
<body>
<h1>test2界面</h1>
<%
String name = (String) request.getAttribute("name");
%>
<p>值为:<%=name%></p>
</body>
session和cookie的区别
session是存储服务器端,cookie是存储在客户端,所以session的安全性比cookie高。
也因此关了浏览器session当然仍然存在,因为session是储存在服务器端的,而服务器是不知道你有没有关掉浏览器的。
获取session里的信息是通过存放在会话cookie里的session id获取的。
session是存放在服务器的内存中里,而session里的数据不断增加会造成服务器的负担,所以会把很重要的信息存储在session中,而把一些次要东西存储在客户端的cookie里。
cookie确切的说分为两大类:会话cookie和持久化cookie。
会话cookie是存放在客户端浏览器的内存中,他的生命周期和浏览器是一致的,当浏览器关闭会话cookie也就消失了。
而持久化cookie是存放在客户端硬盘中,持久化cookie的生命周期(session-timeout)是我们在设置cookie时候设置的那个保存时间,
session的信息是通过session id获取的,而session id是存放在会话cookie当中的,当浏览器关闭的时候会话cookie消失,所以session id也就消失了,
但是session的信息还存在服务器端,并没有消失,只是查不到session但它并不是不存在。同时由于关闭浏览器不会导致session被删除,所以迫使服务器为seesion设置了一个失效时间(session-timeout),当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。
对于“只要关闭浏览器,session就消失了”误解的解释
在谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家提出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序(相当于客户)通知服务器删除一个session,否则服务器会一直保留,程序一般都是在用户做log off的时候发个指令去删除session。浏览器从来不会在关闭之前主动通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器是否关闭。之所以会有这种错觉,是因为大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的HTTP请求头,把原来的session id发送给服务器,即持久化cookie,则再次打开浏览器仍然能够找到原来的session。
