板块一 Servlet编程：第六节 HttpSession对象全解 来自【汤米尼克的JAVAEE全套教程专栏】

在上一节中，我们学习了Servlet五大对象里的第三个Cookie对象，但Cookie是有大小限制和数量限制的，并且越来越多的Cookie代表客户端和服务器的传输量增加，可不可以每次传的时候不传所有Cookie值，而只传一个唯一ID，通过这个ID直接在服务器查找用户信息呢？答案是有的，这就是我们的Session

一、什么是HttpSession

Session的本质

Session是基于Cookie来工作的，同一个客户端每次访问服务器时，只要当浏览器在第一次访问服务器时，服务器设置一个id并保存一些信息(例如登陆就保存用户信息，视具体情况)，并把这个id通过Cookie存到客户端，客户端每次和服务器交互时只传这个id，就可以实现维持浏览器和服务器的状态，而这个ID通常是NAME为JSESSIONID的一个Cookie

Session通过HttpSession来实现，HttpSession对象是javax.servlet.http.HttpSession的实例，该接口并不像HttpServletRequest或HttpServletResponse还存在一个父接口，该接口只是一个纯粹的接口。这因为Session本身就属于HTTP协议的范畴。

对于服务器而言，每一个连接到它的客户端（浏览器）都是一个Session，Servlet容器使用Session创建客户端和服务器之间的会话。会话将保留指定的时间段，能处理多个来自用户的页面请求。一个会话通常对应于一个用户，该用户可能多次访问一个站点。

Session时序图

Session无论客户端还是服务器端都可以感知到，若重新打开一个新的浏览器，则无法取得之前设置的Session,因为每一个Session只保存在当前的浏览器当中,并在相关的页面取得。我们可以通过request.getSession()方法，来获取当前会话的Session对象。

二、创建Seesion及常用方法

创建Seesion要调用Request对象

request.getSession();

当创建Session对象时，会先判断Session对象是否存在，如果存在则获取Session对象，否则会直接创建一个Session对象

常用方法

• 获取Session的会话标识符 getId()
• 获取Session的创建时间（时间戳） getCreationTime()
• 获取最后一次访问时间 getLastAccessedTime()
• 判断是否是新的session对象 isNew()

实例
在start.java中导入javax.servlet.http.HttpSession，并在service()方法中添加测试代码

package www.caijiyuan;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;import javax.servlet.http.HttpSession;@WebServlet("/start")
public class start extends HttpServlet {@Overrideprotected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// 获取session对象HttpSession session = req.getSession();// 获取session的会话标识符String id = session.getId();System.out.println(id);// 获取session的创建时间System.out.println(session.getCreationTime());// 获取最后一次访问时间System.out.println(session.getLastAccessedTime());//判断是否是新的session对象System.out.println(session.isNew());}
}

启动服务器，在浏览器中连续访问两次start，控制台分别打印两次访问start的信息

可以看出来，两次访问都是同一个Session ID，并且第二次访问时，Session最后一次访问的时间已经改变，并且不是新创建的Session对象
如果此时重启浏览器，再访问start，Session ID的值就会改变，说明此Session非彼Session我们在开发者工具中查看Cookie，会发现一个 键为JSESSIONID，值为Session的ID的Cookie，这里提到一个叫做JSESSIONID的Cookie，这是一个比较特殊的Cookie，当用户请求服务器时，如果访问了Session，则服务器会创建一个名为JSESSIONID，值为获取到的Session(无论是获取到的还是新创建的)的sessionld的Cookie对象，并添加到Response对象中，响应给客户端，并且这个Cookie的存活时间被标识成了会话（关闭浏览器）
所以Session的底层依赖Cookie来实现

其实除了使用Cookie还有三种方式让Session正常工作：

• 通过URL传递SessionID：当浏览器不支持Cookie功能时，浏览器会将用户的SessionCookieName(默认为JSESSIONID)重写到用户请求的URL参数中。格式：/path/Servlet;name=value;name2=value2?Name3=value3
• 通过隐藏表单传递SessionID：会根据javax.servlet.request.ssl_session属性值设置SessionID
• 通过SSL传递SessionID

三、Session域对象

Session用来表示一次会话，在一次会话中数据是可以共享的，这时Session作为域对象存在，可以通过setAttribute(name,value)方法向域对象中添加数据，通过getAttribute(name)从域对象中获取数据，通过removeAttribute(name)从域对象中移除数据

实例
在start.java中添加数据
start.java

package www.caijiyuan;
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import java.io.IOException;
import javax.servlet.http.HttpSession;@WebServlet("/start")
public class start extends HttpServlet {@Overrideprotected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {// 获取session对象HttpSession session = req.getSession();// 设置session域对象session.setAttribute("SessionName","ToomyNike");}
}

在after.java中获取数据并输出，然后移除session域对象
after.java

package www.caijiyuan;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;@WebServlet("/after")
public class after extends HttpServlet {@Overrideprotected void service(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {HttpSession session = req.getSession();// 获取指定名称的session域对象String SessionName = (String) session.getAttribute("SessionName");System.out.println(SessionName);// 移除指定名称的session域对象session.removeAttribute("SessionName");}
}

启动服务器，先后在浏览器中访问start和after资源，便可在控制台打印得

如此就实现了一次Session值的设置获取，并且通过Session存储的数据只要一次会话存在它就在设定的之间内一直存在，除非手动销毁。看到这里是不是觉得跟我们在 第三节 HttpServletRequest对象全解与请求转发学到的Request作用域有异曲同工之处？我们将在下一小节ServletContext作用域中为Servlet的三大作用域作总结

四、Session对象的销毁

• 默认到期时间
  当客户端第一次请求Servlet并操作Session时，Session对象生成，Tomcat中Session默认的存活时间为30min，即不操作界面的时间，一旦有操作，Session会重新计时。可以在Tomcat中的conf目录下的web.xml文件中进行修改默认到期时间。
  实例
  打开D:\...\TOMCAT8.5\apache-tomcat-8.5.93-windows-x64\apache-tomcat-8.5.93\conf目录中的web.xml配置文件，在<session-config>标签处即可设置默认到期时间（分钟）
  
  当然除了以上的修改方式外,我们也可以在程序中自己设定Session的生命周期
• 手动设置到期时间
  通过session.setMaxlnactivelnterval(int)来设定Session的最大不活动时间，单位为秒
  实例

//获取session对象
HttpSession session = request.getSession();
// 设置session的最大不活动时间
session.setMaxInactiveInterval(15); // 15秒

此外还可以通过 getMaxlnactivelnterval()方法来查看当前Session对象的最大不活动时间

• 立刻失效session. invalidate();
• 关闭浏览器失效，从前面的JESSION可知道,session的底层依赖cookie实现，并且该cookie的有效时间为关闭浏览器，从而session在浏览器关闭时也相当于失效了(因为没有JSESSION再与之对应)
• 关闭服务器失效，当关闭服务器时，Session销毁，Session 失效则意味着此次会话结束，数据共享结束

以上就是此小节的所有内容，我们学习了Session在Servlet中整个创建、操作、销毁的生命周期，在下一节中我们将学习Servlet板块的最后一个对象也是最后一个作用域：ServletContext