Request中跟Session相关的七个接口

getSession

根据cookie请求头中JSessionId的值获取服务端中有对应id的session，如果没有则在服务端创建一个session，并将该session id设置到响应头，返回到客户端，以便以后的请求能获取该session。等同于getSession(true)。

getSession(boolean create)

create为false时，如果获取不到session，不创建session，直接返回Null。 eg：从session中获取某个attribute为null的情况有两种：session为null和session中的atrribute为null。

changeSessionId

修改session id，服务端和客户端都会更改。可以用来解决Session固化攻击。

 

getRequestedSessionId

 

获取cookie请求头中的JSessionId的值。

eg:和isRequestedSessionIdValid连用还能解决用户第一次访问系统而提示会话过期的问题。

获取攻击者的JSessionId，在其下次请求时，获取其客户端信息进而将其放入黑名单。

 

isRequestedSessionIdFromCookie

JSessionID是否通过cookie发送到服务端的。

isRequestedSessionIdFromURL

JSessionID是否通过URL发送到服务端的。

isRequestedSessionIdValid

判断JSessionID是否已经失效，用作会话过期提示和跳转。