WEB開發會話技術04 14.Session生命周期 14.1生命周期說明 public void setMaxInactiveInterval(int interval):設置session的超時時間(以秒為單位),超過指定的時長,session就會被銷毀。 值為正數的時候,設置session的超 ...
WEB開發會話技術04
14.Session生命周期
14.1生命周期說明
-
public void setMaxInactiveInterval(int interval):設置session的超時時間(以秒為單位),超過指定的時長,session就會被銷毀。 -
值為正數的時候,設置session的超時時長。
-
值為負數時,表示永不超時
-
public int getMaxInactiveInterval()表示獲取session的超時時間 -
public void invalidate()表示讓當前的session會話立即無效 -
如果沒有調用
setMaxInactiveInterval(int interval)來指定session的生命時長,Tomcat會以session的預設時長為準,session的預設時長為30分鐘,可以在tomcat目錄的conf目錄下的web.xml中設置。
-
Session的生命周期指的是:客戶端兩次請求的最大間隔時長,而不是累積時長。即當客戶端訪問了自己的session,session的生命周期將將從0開始重新計算。(指的是同一個會話兩次請求之間的間隔時間)
cookie的生命周期指的是累積時長
-
Tomcat用一個線程來輪詢會話狀態,如果某個會話的空閑時間超過設定的最大值,則將該會話銷毀。
說明:在存放session對象的map中,會記錄所有session對象的生命周期和session的上次被訪問時間。Tomcat維護的線程每隔一定時間就會去掃描這個map,如果發現有某個session對象的上次被訪問時間已超過了其生命周期,就會將其刪除。如果瀏覽器在對應session對象沒有過期的情況下去訪問該session,那麼這個session的上次訪問時間就會被更新成最新訪問的時間。
14.2案例演示1
案例演示1:session的生命周期
web.xml:
<!--CreateSession2-->
<servlet>
<servlet-name>CreateSession2</servlet-name>
<servlet-class>com.li.session.CreateSession2</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>CreateSession2</servlet-name>
<url-pattern>/createSession2</url-pattern>
</servlet-mapping>
<!--ReadSession2-->
<servlet>
<servlet-name>ReadSession2</servlet-name>
<servlet-class>com.li.session.ReadSession2</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>ReadSession2</servlet-name>
<url-pattern>/readSession2</url-pattern>
</servlet-mapping>
CreateSession2:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class CreateSession2 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("CreateSession2 被調用");
//1.創建session
HttpSession session = request.getSession();
System.out.println("CreateSession2 sid= " + session.getId());
//2.設置生命周期為60秒
session.setMaxInactiveInterval(60);
//3.放屬性
session.setAttribute("u", "jack");
//4.給瀏覽器發送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>創建session成功,設置生命周期為60s</h1>");
writer.flush();
writer.close();
}
}
ReadSession2:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class ReadSession2 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("ReadSession2 被調用");
//1.獲取到session
HttpSession session = request.getSession();
System.out.println("ReadSession2 sid= " + session.getId());
//2.讀取session的屬性
Object u = session.getAttribute("u");
if (u != null) {
System.out.println("讀取到session屬性 u= " + (String) u);
} else {
System.out.println("讀取不到session屬性u,說明原來的session已經被銷毀了");
}
//3.給瀏覽器發送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>讀取session成功</h1>");
writer.flush();
writer.close();
}
}
-
redeployTomcat,首先在瀏覽器中訪問
http://localhost:8080/cs/createSession2創建session,然後在設置的60s生命周期內訪問http://localhost:8080/cs/readSession2讀取session,後臺輸出如下:
-
等待60s後,再次訪問
http://localhost:8080/cs/readSession2,後臺輸出如下:
可以看到session的id和之前不一樣了,說明伺服器創建了新的session,原來的session因為超過了生命周期已經被銷毀。
-
在瀏覽器抓包,也可以看出伺服器返回了一個新的jsessionid值:
-
重新訪問
http://localhost:8080/cs/createSession2創建session,然後分別在其30s,70s後訪問http://localhost:8080/cs/readSession2,後臺輸出的sid是一致的,說明session的生命周期的計算不是累積的,而是客戶端兩次請求的最大間隔時長。
14.2案例演示2
案例演示2:刪除session
web.xml:
<!--DeleteSession-->
<servlet>
<servlet-name>DeleteSession</servlet-name>
<servlet-class>com.li.session.DeleteSession</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>DeleteSession</servlet-name>
<url-pattern>/deleteSession</url-pattern>
</servlet-mapping>
DeleteSession:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class DeleteSession extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("DeleteSession 被調用");
//演示如何刪除session
HttpSession session = request.getSession();
session.invalidate();
//如果要刪除session的某個方法,使用session.removeAttribute
//給瀏覽器發送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>刪除session成功</h1>");
writer.flush();
writer.close();
}
}
redeployTomcat,首先訪問http://localhost:8080/cs/createSession2,創建session,然後訪問http://localhost:8080/cs/deleteSession,刪除此session。這時我們再訪問http://localhost:8080/cs/readSession2讀取session當前的sid,可以發現session已經不再是之前那個session了,說明之前創建的session已經被刪除。
後臺輸出如下:
15.Session經典案例-防止非法進入管理頁面
需求說明:完成防止用戶登錄管理頁面應用案例
說明:
- 只要密碼為666666,就認為是登錄成功,用戶名不限制
- 如果驗證成功,則進入管理頁面ManageServlet.java,否則進入error.html
- 如果用戶直接訪問ManageServlet.java,直接重定向到login.html。即不允許在未驗證的情況下直接訪問管理頁面。
練習
思路:
-
首先在loginCheckServlet判斷用戶數據是否合法。如果合法,創建保存一個session,將用戶數據保存到session中,並請求轉發到ManageServlet。如果非法,則請求轉發到error.html。
-
在ManageServlet中,首先獲取session。如果該session中有設置的用戶數據,說明在此次請求之前,創建過session,併在伺服器保存了該session對象,即用戶登錄過,因此可以直接訪問管理頁面。否則,就說明此次請求之前沒有創建過session,該session是新創建的,用戶沒有登錄驗證過,就重定向到login.html。
LoginCheckServlet:
package com.li.session.hw;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.annotation.*;
import java.io.IOException;
@WebServlet(name = "LoginCheckServlet", urlPatterns = {"/loginCheckServlet"})
public class LoginCheckServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
/**
* 首先在loginCheckServlet判斷用戶數據是否合法。
* 1.如果合法,創建一個session,給session設置用戶數據,並直接請求轉發到ManageServlet
* 2.如果非法,請求轉發到error.html。
*/
//獲取表單數據
String username = request.getParameter("username");
String pwd = request.getParameter("pwd");
if ("666666".equals(pwd)) {//如果數據合法
//請求轉發到ManageServlet
HttpSession session = request.getSession();
session.setAttribute("username", username);
//伺服器來解析 /
request.getRequestDispatcher("/manageServlet").forward(request, response);
} else {//數據非法,請求轉發到error.html
//伺服器來解析 /
request.getRequestDispatcher("/error.html").forward(request, response);
}
}
}
ManageServlet:
package com.li.session.hw;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.annotation.*;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet(name = "ManageServlet", urlPatterns = {"/manageServlet"})
public class ManageServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
/**
* 在ManageServlet中,首先獲取session。
* 1.如果該session中有設置的用戶數據,說明在此次請求之前,創建過session,
* 併在伺服器保存了該session對象,即用戶登錄過,因此可以直接訪問管理頁面。
* 2.否則,就說明此次請求之前沒有創建過session,該session是新創建的,
* 用戶沒有登錄驗證過,就重定向到login.html。
*/
HttpSession session = request.getSession();
Object username = session.getAttribute("username");
// username=null 說明是新創建的session,說明該用戶沒有登錄過
if (username == null) {
//瀏覽器解析的 /
response.sendRedirect("/cs/login.html");
return;
} else {
//否則說明瀏覽器有對應的session(即已經登錄驗證過),可以直接訪問管理頁面
//顯示頁面
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>用戶管理頁面</h1><br/>" + "歡迎你,管理員:"
+ username.toString());
writer.flush();
writer.close();
}
}
}
error.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登錄失敗</title>
</head>
<body>
<h1>登錄失敗</h1>
<a href="/cs/login.html">點擊返回重新登錄</a>
</body>
</html>
login.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登錄頁面</title>
</head>
<body>
<form action="/cs/loginCheckServlet" method="post">
用戶名:<input type="text" name="username"/><br/><br/>
密碼:<input type="password" name="pwd"/><br/>
<input type="submit" value="登錄"/>
</form>
</body>
</html>
-
redeployTomcat,在瀏覽器訪問
http://localhost:8080/cs/login.html,輸入正確的密碼,成功登錄並顯示頁面。
-
此時如果在新標簽頁地址欄訪問
http://localhost:8080/cs/manageServlet,是可以直接顯示頁面的,因為之前已經登錄過了。
-
如果沒有登錄就訪問
http://localhost:8080/cs/manageServlet,會重定向到登錄頁面,無法直接訪問管理頁面。
