Session

HttpSession

在JavaWeb中提供了HttpSession类，用来表示http会话。

1. 获取HttpSession

HttpSession session = request.getSession();
HttpSession session = request.getSession(false);

2. 域功能

session是域对象，所以有setAttribute()和getAttribute()等方法
服务器会为每个会话创建一个session对象，所以session中的数据可供当前会话中所有servlet共享。

3. 登录案例

请求功能：
1. 如果登录功能，在session中保存user对象
2. 访问index1.jsp，查看session中是否存在user对象，如果存在，说明已经登录过。
3. 访问index2.jsp，查看session中是否存在user对象，如果存在，说明已经登录过。
如果关闭了浏览器，那么会话结束，再打开浏览器就开始了一个新会话，那么直接访问index1.jsp或index2.jsp时，session是新的，没有保存user对象，那么表示还没有登录。

4. session的原理

session是依赖Cookie实现的。
session是服务器端对象
当用户第一次使用session时（表示第一次请求服务器），服务器会创建session，并创建一个Cookie，在Cookie中保存了session的id，发送给客户端。这样客户端就有了自己session的id了。但这个Cookie只在浏览器内存中存在，也就是说，在关闭浏览器窗口后，Cookie就会丢失，也就丢失了sessionId。
当用户第二次访问服务器时，会在请求中把保存了sessionId的Cookie发送给服务器，服务器通过sessionId查找session对象，然后给使用。也就是说，只要浏览器容器不关闭，无论访问服务器多少次，使用的都是同一个session对象。这样也就可以让多个请求共享同一个session了。
当用户关闭了浏览器窗口后，再打开浏览器访问服务器，这时请求中没有了sessionId，那么服务器会创建一个session，再把sessionId通过Cookie保存到浏览器中，也是一个新的会话开始了。原来的session会因为长时间无法访问而失效。
当用户打开某个服务器页面长时间没动作时，这样session会超时失效，当用户再有活动时，服务器通过用户提供的sessionId已经找不到session对象了，那么服务器还是会创建一个新的session对象，再把新的sessionId保存到客户端。这也是一个新的会话开始了。

　　设置session超时时间
web.xml文件中配置如下：

30

5. session与浏览器

session对象是保存在服务器端的，而sessionId是通过Cookie保存在客户端的。
因为Cookie不能在多个浏览器中共享，所以session也不能在多个浏览器中共享。也就是说，使用IE登录后，再使用FireFox访问服务器还是没有登录的状态。

而且同时打开多个相同浏览器的窗口，是在使用同一session。如果你使用的是老浏览器，例如IE6，那么就会每个窗口一个session。

6. session的API

• String getId()：获取sessionId；
• int getMaxInactiveInterval()：获取session可以的最大不活动时间（秒），默认为30分钟。当session在30分钟内没有使用，那么Tomcat会在session池中移除这个session；
• void setMaxInactiveInterval(int interval)：设置session允许的最大不活动时间（秒），如果设置为1秒，那么只要session在1秒内不被使用，那么session就会被移除；
• long getCreationTime()：返回session的创建时间，返回值为当前时间的毫秒值；
• long getLastAccessedTime()：返回session的最后活动时间，返回值为当前时间的毫秒值；
• void invalidate()：让session失效！调用这个方法会被session失效，当session失效后，客户端再次请求，服务器会给客户端创建一个新的session，并在响应中给客户端新session的sessionId；
• boolean isNew()：查看session是否为新。当客户端第一次请求时，服务器为客户端创建session，但这时服务器还没有响应客户端，也就是还没有把sessionId响应给客户端时，这时session的状态为新。

7. URL重写

session依赖Cookie，这是因为服务器需要把sessionId保存到客户端。如果用户的浏览器关闭了Cookie功能，那么session不能使用了！
还可以在浏览器关闭了Cookie后使用URL重写的方法保存sessionId，这需要在每个URL后面都加上sessionId！这样用户的请求中就包含了sessionId，服务器就可以通过sessionId找到对应的session对象了。
使用response.encodeURL()方法对URL进行编码，这样URL中会智能的添加sessionId。
　当浏览器支持cookie时，response.encodeURL()方法不会在URL后追加sessionId
当浏览器不支持cookie时，response.encodeURL()方法会在URL后追加sessionId