HttpSession概述

大家好，又见面了，我是你们的朋友全栈君。

什么是HttpSession

Javax.servlet.http.HttpSession接口表示一个会话，一个会话只能对应一个用户。我们可以把会话需要的共享数据保存到HttpSession中

获取HttpSession对象

HttpSession request.getSession():如果当前会话已经有了session对象，直接返回；如果没有则创建session 并返回

HttpSession request.getSession(boolean):当参数为true时，与request.getSession()相同；如果参数为false,当前会话存在session则返回，不存在则返回null

HttpSession是一个域对象

（Servlet中三个域对象：HttpRequest\HttpSession\HttpServletContext）

•  HttpServletRequest：一个请求创建一个request对象，所以在同一个请求中可以共享request，例如一个请求从AServlet转发到BServlet，那么AServlet和BServlet可以共享request域中的数据；
•  ServletContext：一个应用只创建一个ServletContext对象，所以在ServletContext中的数据可以在整个应用中共享，只要不启动服务器，那么ServletContext中的数据就可以共享；
•  HttpSession：一个会话创建一个HttpSession对象，同一会话中的多个请求中可以共享session中的数据；

Session包含的域方法

void setAttribute(String name, Object value)：用来存储一个对象，也可以称之为存储一个域属性，例如：session.setAttribute(“xxx”, “XXX”)，在session中保存了一个域属性，域属性名称为xxx，域属性的值为XXX。请注意，如果多次调用该方法，并且使用相同的name，那么会覆盖上一次的值，这一特性与Map相同；

•  Object getAttribute(String name)：用来获取session中的数据，当前在获取之前需要先去存储才行，例如：String value = (String) session.getAttribute(“xxx”);，获取名为xxx的域属性；
•  void removeAttribute(String name)：用来移除HttpSession中的域属性，如果参数name指定的域属性不存在，那么本方法什么都不做；
•  Enumeration getAttributeNames()：获取所有域属性的名称；

Session的实现原理

Session底层是依赖cookie的。

当首次使用session时，服务端会创建session，并将session存放在session缓存区中，而给客户端的是一个包含在cookie中的sessionid。

当客户端再次访问服务器时，会在请求中带上sessionid,而服务器会通过sessionid找到对应的session，进而无需再创建新的session。

Session与浏览器

Session保存在服务器中，sessionid会通过cookie传到客户端，但是这个cookie的生命值为-1，代表cookie只存在客户端的内存当中，当客户端关闭后，cookie就会丢失。

当客户端再次访问浏览器时，已经没有了cookie（sessionid也没有了）。服务器会重新为客户端创建session。

原先的session在特定的时长后被服务器删除。Tomcat中的配置为30分钟，可以在${CATALANA}/conf/web.xml找到这个配置，也可以在自己的web.xml中覆盖这个配置！

<session-config>
     <session-timeout>30</session-timeout>
</session-config>

Session其他常用API

• String getId()：获取sessionId；
• int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟。当session在30分钟内没有使用，那么Tomcat会在session池中移除这个session；
• void setMaxInactiveInterval(int interval)：设置session允许的最大不活动时间（秒），如果设置为1秒，那么只要session在1秒内不被使用，那么session就会被移除；
• long getCreationTime()：返回session的创建时间，返回值为当前时间的毫秒值；
• long getLastAccessedTime()：返回session的最后活动时间，返回值为当前时间的毫秒值；
•  void invalidate()：让session失效！调用这个方法会被session失效，当session失效后，客户端再次请求，服务器会给客户端创建一个新的session，并在响应中给客户端新session的sessionId；
• boolean isNew()：查看session是否为新。当客户端第一次请求时，服务器为客户端创建session，但这时服务器还没有响应客户端，也就是还没有把sessionId响应给客户端时，这时session的状态为新。一般使用：request.getSession().isNew，这里需要注意的是：当调用request.getSssion()函数时，首先是根据客户端返回的sessionid去匹配session缓存区中的session。如果没有，在创建新的session。当创建session时，request.getSession().isNew返回为true,否则返回为false

URL重写

前面提到session底层依赖cookie，原因是服务器需要在每次请求中获取sessionid进行匹配，然后找到客户端的session对象。但是客户端浏览器如果关闭了cookie功能，就需要用到URL重写：在每个网页中的每个链接和表单中都添加名为jSessionId的参数，值为当前sessionid。当用户点击链接或提交表单时，服务器也可以通过获取jSessionId的参数来得到客户端的sessionid，来得到session对象。 

<body>
<h1>URL重写</h1>
<a href='/day06_5/index.jsp;jsessionid=<%=session.getId() %>' >主页</a>
<form action='/day06_5/index.jsp;jsessionid=<%=session.getId() %>' method="post">
    <input type="submit" value="提交"/>
</form>
</body>

通过response.encodeURL()对每个请求URL处理，这个方法会自动追加jsessoinid参数，与上面效果一样

<a href='<%=response.encodeURL("/day06_5/index.jsp") %>' >主页</a>
<form action='<%=response.encodeURL("/day06_5/index.jsp") %>' method="post">
    <input type="submit" value="提交"/>
</form>

使用response.encodeURL()更加“智能”，它会判断客户端浏览器是否禁用了Cookie，如果禁用了，那么这个方法在URL后面追加jsessionid，否则不会追加。