session的建立
session存在于服务器中,需要有httpservletrequest的request对象调用getsession方法来创建session对象,session对象可以存放用户的状态信息。
** request.getSession(true)** 生成调用session,.为true时表示可以创建一个session。eg: HttpSession session = request.getSession();
session的默认有效时间—–tomcat服务器session默认有效时间为30min,但是可以在web.xml配置文件中进行修改。
<session-config>
<session-timeout>30</session-timeout>
</session-config>
session设置属性的方法:session.setAttribute(str name, value)
设置时间方法:表示在interval时间内不操作,session就会失效。
session.setMaxInactiveInterval(interval)
注意:
1.session是存在服务器的内存中的
2.一个浏览器独享一个session域对象
3.session中可以存放多个属性
4.session中可以存放对象
5.如果session设置的属性存在重名,则会替换为新的值
sessionID:客户端发送请求时,服务器会生成一个session对象,session对象生成一个对应的sessionID返回给客户端,客户端再次请求时会在cookie中携带该sessionID随请求一起发送给服务器,服务器对sessionID进行验证是否有效。
sessionID失效:在cookie为会话级时,sessionID在浏览器关闭时就会失效。会话级cookie的失效时间就是浏览器关闭时。
—-cookie可以设置有效时期,在有效时期内关闭浏览器session会话会失效,也就是sessionID没了,但是也有说法说cookie不随浏览器关闭而失效,这是为什么呢??
因为cookie分为两种,一个是会话cookie,存在于浏览器进程里,当浏览器关闭时,会话cookie不存在了,所以说sessionID存在于会话cookie中时会随着浏览器关闭而失效,sessionID是cookie的一个属性。还有一种是存在硬盘的cookie,不会随浏览器关闭而失效。cookie默认失效时间是浏览器关闭。
cookie设置失效时间:对于会话cookie可以设置失效时间吗?对于存在硬盘的cookie怎么设置失效时间呢??
cookie.setMaxAge(0) //表示不会记录cookie
cookie.setMaxAge(-1) ///表示这是会话级cookie,关闭浏览器时就会失效。
cookie.setMaxAge(60) //设置了失效时间60秒,该cookie会存在硬盘中
客户端怎么区分cookie是会话cookie还是硬盘cookie??看设置的失效时间。设置了过期时间的cookie会存放在硬盘中,关闭浏览器再打开,cookie仍然有效,直到时间过期。存在硬盘中的cookie可以在浏览器不同的进程中共享。
有人问seesionid可以用于保存用户登录状态,且存在cookie中,那么如果将sessionID存在cookie对象里,并且此时将cookie的失效时间设置为30分钟,那么浏览器关闭时,sessionID是否过期??
—-不会的,因为此时的cookie存在硬盘,sessionID也会存放在硬盘cookie中,cookie没有失效,sessionID值还是可以找到,因此关闭浏览器再次登录时仍然可以进入原来的网页。
自动登录问题
有时候出现的打开某个网页自动登录,那么这里面是利用什么技术实现的?和sessionID有关系吗?
——cookie实现。此时利用硬盘cookie,sessionID没有随着浏览器的关闭而关闭。直到cookie失效或者服务器的session对象失效为止。
——cookie+token实现。引入token实际上是为了安全。那么怎样生成token呢?一:利用设备号/设备Mac地址生成;二:将用户名和时间一起生成token,或者将sessionID加密生成token,将token保存在cookie中。用户访问网站时,后台读取Cookie,获取uid和Token,去数据库对比,如果都存在,且在有效期内,则通过uid直接获取用户信息并保存session,直接跳转到首页。资料: https://www.cnblogs.com/jacksoft/p/5216862.html
此时对cookie设置禁止,sessionID无法存在cookie中,那么怎么保存登录状态信息?
可以利用URL回写的方式实现
暂无评论