Servlet/JSP-06 Session

一. 概述

　　Session 指客户端（浏览器）与服务器端之间保持状态的解决方案，有时候也用来指这种解决方案的存储结构。

　　当服务器端程序要为客户端的请求创建一个 Session 时，会首先检查这个请求里是否包含了一个 Session 标识（即 sessionId），如果已经包含则说明服务端之前已经为此客户端创建过 Session，服务器就按照这个 sessionId 把对应的 Session 检索出来（如果检索不到，会新建一个，这种情况可能出现在服务端已经删除了该用户对应的 Session 对象，但客户端仍然在请求的 URL 上附加了 JSESSIONID 参数）。如果客户端请求不包含 sessionId，则为此客户创建一个Session 并且生成一个与此 Session 相关联的 sessionId，这个 sessionId 将在响应中返回给客户端，供下次客户端请求用来保持与服务器端的状态信息。

Session 的实现方式

1. 通过cookie实现

　　服务端为客户端创建Session时，将SessionId作为一个cookie返回给客户端。

　　客户端第一次请求 --> 服务端创建Session及SessionId，返回响应（响应头包含Set-Cookie[JSESSIONID:SessionId]）

　　--> 客户端第二次请求，请求头（Cookie[JSESSIONID:SessionId]）--> 服务端通过JSESSIONID查找为客户端创建的Session

2. URL重写（当cookie被禁用时，仍然有效）

二. Session 的生命周期

1.什么时候创建 HttpSession 对象？

① 对于JSP ：是否浏览器访问服务器的任何一个 JSP ，服务器都会立即创建一个 HttpSession 对象呢？

　　不一定！

　　a. 若当前 JSP 是客户端访问的 WEB 应用的第一个资源，且 JSP 页面的 page 指令的 session 属性值为false，则服务器不会创建 HttpSession 对象

　　b. 若当前 JSP 不是客户端访问的当前 WEB 应用的第一个资源，且其他页面已经创建过一个 HttpSession 对象，则服务器也不会为当前 JSP 页面创建一个HttpSession 对象，而会把和当前会话相关联的那个 HttpSession 对象返回给当前 JSP 页面。

② 对于 Servlet：若 Servlet 是客户端访问 WEB 应用的第一个资源，则只有调用了 request.getSession() 或 request.getSession(true) 才会创建 HttpSession 对象

2. JSP 页面中 page 指令的 session="false" 属性表示什么意思？

　　表示当前 JSP 页面禁用 session 隐含对象！但是可以使用其他显示的 HttpSession 对象， 例如下方代码显示创建的 HttpSession 对象

    <%
        HttpSession session2 = request.getSession();
    %>

3.在Servlet中如何获取 HttpSession 对象？

　　> request.getSession(boolean create)

　　create 为 false，若没有和当前 JSP 页面关联的 HttpSession 对象，则返回 null；若有，则返回关联的 HttpSession 对象

　　create 为 true，一定返回一个 HttpSession 对象。若没有和当前 JSP 页面关联的 HttpSession 对象，则服务器创建一个新的 HttpSession对象返回；若有，则返回关联的HttpSession 对象

　　> request.getSession()：等同于request.getSession(true)

4. 什么时候销毁 HttpSession 对象？

　　① 直接调用 HttpSession 的 invalidate() 方法，该方法使得 session 失效

　　② 服务器卸载了 WEB 应用

　　③ 超出了 HttpSession 的过期时间

　　　　> 设置 HttpSession 的过期时间：session.setMaxInactiveInterval(30); 单位为秒

　　　　> 在web.xml 文件中设置 HttpSession 的过期时间，单位为分钟　

       <session-config>
           <session-timeout>30</session-timeout>
       </session-config>    

　　④ 并不是关闭了浏览器，就销毁了 session

三. 利用 URL 重写实现 session 跟踪

　　1. Servlet 规范中引入了一种补充的会话管理机制，它允许不支持 cookie 的浏览器也可以与 WEB 服务器保持连续的会话。这种机制要求响应消息的实体内容中必须包含下一次请求的超链接，并将会话标识号（JSESSIONID）作为超链接的 URL 的一个特殊参数。

　　2. URL 重写：将会话标识号以参数的形式附加在超链接的 URL 地址后面的技术称作 URL 重写。

　　　　如果在浏览器不支持cookie 或者关闭了 cookie的情况下，WEB服务器还用能够与浏览器实现有状态的会话，就必须对所有可能被客户端访问的请求路径（包括超链接，form表单的action属性及重定向的URL）进行URL重写

　　3. HttpServletResponse接口中定义的两个用于URL重写的方法：

　　　　encodeURL()和encodeRedirectURL() : 二者作用一样，调用此二方法，则会自动在URL后加上 JSESSIONID 参数

　　

四. 相对路径和绝对路径

1. 相对路径的问题

　　① 开发时建议写绝对路径：绝对路径肯定正确，而相对路径可能会出错

　　在由Servlet 转发到JSP 页面时，此时浏览器地址栏上显示的是 Servlet 的路径， 而若转发后的 JSP 页面上得超链接还是相对于 该 JSP 页面的相对地址，则此超链接跳转可能会出现路径无法找到的问题。

2. 编写绝对路径可以避免上述问题：

　　① 在 JavaWEB 中的绝对路径：相对于当前 WEB 应用的根路径的路径

　　例如：http://localhost:8080/JavaWEB01/jsp/hello.jsp

　　　　　其中"http://localhost:8080/JavaWEB01" 部分称作ContextPath（当前WEB应用的上下文路径）

　　②  绝对路径的编写

　　若 "/" 代表的是站点根目录，则在前面加上 ContextPath 即可，ContextPath 可以由 request.getContextPath() 或

application.getContextPath() 获取。

　　例：<a href="/testServlet"> To next page</a>  　　　　　　　　　　　　　　　　　　   #相对路径

　　　　<a href="<%=request.getContextPath() %>/testServlet"> To next page</a>　　#绝对路径

　　　　response.sendRedirect(request.getServletPath() + "/jsp/query.jsp")　　　　　　　  #绝对路径

3. JavaWEB开发中的 / 代表什么？

　　① 代表当前 WEB 应用的根路径：http://localhost:8080/JavaWEB01/

　　  > 请求转发时：request.getRequestDispatcher("/jsp/modify.jsp").forward(request, response);

　　  > web.xml 文件中映射 Servlet 的访问路径

　　　 <servlet>

　　　　 　　<servlet-name>hellojsp</servlet-name>

　　　　 　　<jsp-file>/jsp/hello.jsp</jsp-file>

　　　　</servlet>

　　　　<servlet-mapping>

　　 　　　　<servlet-name>hellojsp</servlet-name>

　　 　　　　<url-pattern>/hellojsp</url-pattern>

　　　　</servlet-mapping>

　　   > 各种定制标签中的 /

　　② WEB 站点的根路径：http://localhost:8080/

　　  > 超链接  <a href="/testServlet"> To next page</a>

　　  > 表单中的action属性  <form action="/login.jsp">

　　  > 请求重定向的时候  response.sendRedirect("/add.jsp");

　　③ "/" 含义的区分：若 / 需交由 Servlet 容器来处理则表示当前应用的根路径，若 / 交由浏览器处理则表示当前站点的根目录。