【JSP&Servlet学习笔记】4.会话管理

Http本身是无状态通信协议，要进行会话管理的基本原理，就是将需要维护的状态回应给浏览器，由浏览器在下次请求时主动发送状态信息，让Web应用程序“得知”请求之间的关联。

隐藏字段是将状态信息以窗体中看不到的输入字段回应给浏览器，在下次发窗体时一并发送这些隐藏的输入字段值。Cookie是保存在浏览器上的一个小文件，可设定存活期，在浏览器请求Web应用程序时，会一并将属于网站的Cookie发送给应用程序。URL重写是使用超链接，并在超链接的URL地址附加信息，以GET的方式请求Web应用程序。

如果你要创建Cookie，可以使用Cookie类，创建时指定Cookie中的名称与数值，并使用HttpServletResponse的addCookie（）方法在响应中新增Cookie。可以使用setMaxAge（）来设定Cookie的有效期限，预设是关闭浏览器之后Cookie就失效。

执行HttpServletRequest的getSession（）可以取得HttpSession对象。在会话阶段，可以使用HttpSession的setAttribute（）方法来设定会话期间要保留的信息，利用getAttribute（）方法就可以取得信息。如果要让HttpSession失效，则可以执行invalidate（）方法。

HttpSession是Web容器中的一个Java对象，每个HttpSession实例都会有个独特的SessionID。容器默认使用Cookie于浏览器存储SessionID，下下次请求时，浏览器会将包括SessionID的Cookie送至应用程序，应用程序再根据SessionID取得相对应的HttpSession对象。

如果浏览器禁用Cookie，则无法使用Cookie在浏览器储存SessionID，此时若打算运用HttpSession来维持会话信息，则可使用URL重写机制。HttpServletResponse的encodeURL（）方法在容器无法从Cookie中取得SessionID时，会将设定给它的URL附上SessionID，以便设定URL重写时的超链接信息。HttpServletResponse的encodeRedirectURL（）方法则可以让你要求浏览器重定向网页时，在URL附上SessionID的信息。

执行HttpSession的setMaxIncativeInterval（）方法，设定的是HttpSession对象在浏览器多久没活动就失效的时间，而不是储存SessionID的Cookie失效时间。HttpSession是用于当次会话阶段的状态维持，如果有相关的信息，希望在关闭浏览器后，下次开启浏览器请求Web应用程序时，仍可以发送给应用程序，则要使用Cookie。