Session学习小结

前言：

1.我们在学习一项技术的时候，首先应该是什么时候会用到这项技术。这次学习session也是如此，一般的web项目中都有用户的存在，有用户那么就有了用户的管理，而用户往往是存在于session中的。

说到session就不得不提cookie了，个人对互联网的发展不是很了解，只是简单的知道早期的网站都是使用cookie进行用户管理的。

cookie是什么呢？我们先简单的了解下。

javax.servlet.http.Cookie是servlet自带的类，所以jsp页面可以调用。下面简单的介绍下cookie的使用

Cookie cookie = new Cookie("name", "dawa");
//设置域名
cookie.setDomain(".google.com");
//设置cookie的访问路径
cookie.setPath("/server");
//设置cookie有效时间
cookie.setMaxAge(1800);
//设置cookie是否只能由安全的协议访问如https
cookie.setSecure(true);

cookie类似于工作证，浏览器每次访问web项目时，会发送对应的cookie，而发送的cookie是之前response返回的。

上图中截图的部分就是浏览器发送给服务器的一个简单的sessionId的cookie。

2.随着时代的发展，session出现了，大有取代cookie的形势，但是常规的session还是依赖cookie的存储的，存储的是session的Id值，如上面的截图中的JSESSIONID。

　下面我们来说说session这个玩意。

Web项目中我们一般把用户保存在session中，为什么这样使用呢？

　　   因为我们在Web获取session时一般简单的通过request.getSession()的方式来获取session，用户的请求与session有了直接的关联，而用户的信息放在session中就形成一对一的关系。

之前我曾简单的考虑过一个问题，我们一般在登陆的时候通过request.getSession().setAttribute(Constants.SESSION_USER_KEY, sessionUser)这样的方式来讲user存放到session中取得，此处不禁想到，

多个用户登陆设置session的时候，key不都是一样的么，那么session是如何区分的呢？

　 　　这里就要说到之前截图里的JSESSIONID，在用户登陆之后，服务器会将session的Id以cookie的方式保存到response中返回给浏览器，浏览器再次发起请求的时候就会带上之前返回的cookie，

　　　 服务器在request.getSession()会根据cookie里的sessiondId获取对应的session，所以是不会造成混乱的。

说到这里，我们大致了解了一些session的知识。

实际项目中对于session的操作一般用户login和sessionFilter中，下面贴上login和sessionFiler的简单代码：

　　LoginController部分代码：

 @RequestMapping("/login.do")
     public String loginHandler(HttpServletRequest request, HttpServletResponse response, ModelMap model){
         String action = request.getParameter("action");
         if("do".equals(action)){
             String workno = request.getParameter("account");
             String password = request.getParameter("password")==null ? "":request.getParameter("password");
             if(!"".equals(workno) && !"".equals(password)){
                 Map<String, Object> param = new HashMap<String, Object>();
                 param.put("name", workno);
                 param.put("password", password);
                 User user = userService.get(param);
                 if(user != null){
                     SessionUser sessionUser = new SessionUser();
                     sessionUser.setWorkno(user.getId());
                     sessionUser.setNickName(user.getName());
                     System.out.println("设置session");
                     request.getSession().setAttribute(Constants.SESSION_USER_KEY, sessionUser);
　　　　　　　　　　　　　　//此处演示下cookie的使用
                     Cookie cookie = new Cookie("name","dawa");
                     response.addCookie(cookie);
                     return "redirect:home.do";

                 } else {
                     model.put("errMsg", "用户名或者密码错误");
                     return "login";
                 }
             } else {
                 model.put("errMsg", "用户名或者密码不能为空");
                 return "login";
             }
         }
         return "login";
     }

SessionFiler部分代码：

 public void doFilter(ServletRequest request, ServletResponse response,
             FilterChain chain) throws IOException, ServletException {
         HttpServletRequest hsrq = (HttpServletRequest) request;
         HttpServletResponse hsrp = (HttpServletResponse) response;

         SessionUser person = null;
         String reqPage = hsrq.getServletPath().trim();
         if (!reqPage.equals("/login.do") && !reqPage.equals("/login_out.do")) {
             System.out.println("sesion拦截");
             person = (SessionUser) hsrq.getSession().getAttribute(Constants.SESSION_USER_KEY);
             if (person == null) {
                 hsrp.sendRedirect("login.do");
                 return;
             }
         }
         chain.doFilter(request, response);
     }

代码都比较简单，没什么可说的，最后补充下session的过期时间和失效方法：

Web项目的session过期时间一般设置在web.xml中

    <!-- 默认的session超时时间 ,单位为分钟-->
    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>

而session的失效要调用invalidate()才能使session销毁，也只有这样才能触发HttpSessionListener的sessionDestroyed的方法，关闭浏览器只是断开了session，断开的session会在session过期后销毁。

request.getSession().invalidate();