Session使用详解(有实例)

type="text">

在被传递给客户端之前将被改写成

这种技术现在已较少应用，笔者接触过的很古老的iPlanet6（SunONE应

用服务器的前身）就使用了这种技术。

实际上这种技术可以简单的用对action应用URL重写来代替。

在谈论session机制的时候，常常听到这样一种误解“只要关闭浏览器，session就消失了”。其实可以想象一下会员卡的例子，除非顾客主动对店家提出销卡，否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的，除非程序通知服务器删除一个session，否则服务器会一直保留，程序一般都是在用户做log off的时候发个指令去删除session.然而浏览器从来不会主动在关闭之前通知服务器它将要关闭，因此服务器根本不会有机会知道浏览器已经关闭，之所以会有这种错觉，是大部分session机制都使用会话cookie来保存session id，而关闭浏览器后这个 session id就消失了，再次连接服务器时也就无法找到原来的session.如果服务器设置的cookie被保存到硬盘上，或者使用某种手段改写浏览器发出的HTTP请求头，把原来的session id发送给服务器，则再次打开浏览器仍然能够找到原来的session.

恰恰是由于关闭浏览器不会导致session被删除，迫使服务器为seesion设置了一个失效时间，当距离客户端上一次使用session的时间超过这个失效时

间时，服务器就可以认为客户端已经停止了活动，才会把session删除以节省

存储空间。

五、理解javax.servlet.http.HttpSession

HttpSession是Java平台对session机制的实现规范，因为它仅仅是个接口，具体到每个web应用服务器的提供商，除了对规范支持之外，仍然会有一些规范里没有规定的细微差异。这里我们以BEA的Weblogic Server8.1作为例子来演示。

首先，Weblogic Server提供了一系列的参数来控制它的HttpSession的实现，包括使用cookie的开关选项，使用URL重写的开关选项，session持久化的设置，session失效时间的设置，以及针对cookie的各种设置，比如设置cookie的名字、路径、域，cookie的生存时间等。

一般情况下，session都是存储在内存里，当服务器进程被停止或者重启的时候，内存里的session也会被清空，如果设置了session的持久化特性，服务器就会把session保存到硬盘上，当服务器进程重新启动或这些信息将能够被再次使用，Weblogic Server支持的持久性方式包括文件、数据库、客户端cookie保存和复制。

复制严格说来不算持久化保存，因为session实际上还是保存在内存里，不过同样的信息被复制到各个cluster内的服务器进程中，这样即使某个服务器进程停止工作也仍然可以从其他进程中取得session.

cookie生存时间的设置则会影响浏览器生成的cookie是否是一个会话cookie.默认是使用会话cookie.有兴趣的可以用它来试验我们在第四节里提到的那个误解。

cookie的路径对于web应用程序来说是一个非常重要的选项，Weblogic Server对这个选项的默认处理方式使得它与其他服务器有明显的区别。后面我们会专题讨论。

关于session的设置参考[5]

https://www.360docs.net/doc/f02647631.html,/wls/docs70/webapp/weblogic_xml.html#103 6869

六、HttpSession常见问题（在本小节中session的含义为⑤和⑥的混合）

1、session在何时被创建一个常见的误解是以为session在有客户端访问时就被创建，然而事实是直到某server端程序调用HttpServletRequest.getSession（true）这样的语句时才被创建，注意如果JSP没有显示的使用<% @page session="false"%>关闭session，则JSP 文件在编译成Servlet时将会自动加上这样一条语句HttpSession session = HttpServletRequest.getSession（true）；这也是JSP中隐含的session 对象的来历。

由于session会消耗内存资源，因此，如果不打算使用session，应该在所有的JSP中关闭它。

2、session何时被删除综合前面的讨论，session在下列情况下被删除a.程序调用HttpSession.invalidate（）；或b.距离上一次收到客户端发送的session id时间间隔超过了session的超时设置；或c.服务器进程被停止（非持久session）

3、如何做到在浏览器关闭时删除session严格的讲，做不到这一点。可以做一点努力的办法是在所有的客户端页面里使用javascript代码

window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session.但是对于浏览器崩溃或者强行杀死进程这些非常规手段仍然无能为力。

4、有个HttpSessionListener是怎么回事你可以创建这样的listener去监控session的创建和销毁事件，使得在发生这样的事件时你可以做一些相应的工作。注意是session的创建和销毁动作触发listener，而不是相反。类似的与HttpSession有关的listener还有HttpSessionBindingListener，HttpSessionActivationListener和HttpSessionAttributeListener.

5、存放在session中的对象必须是可序列化的吗不是必需的。要求对象可序列化只是为了session能够在集群中被复制或者能够持久保存或者在必要时

server能够暂时把session交换出内存。在 Weblogic Server的session中放置一个不可序列化的对象在控制台上会收到一个警告。我所用过的某个iPlanet版本如果 session中有不可序列化的对象，在session销毁时会有一个Exception，很奇怪。

6、如何才能正确的应付客户端禁止cookie的可能性对所有的URL使用URL 重写，包括超链接，form的action，和重定向的URL，具体做法参见[6] https://www.360docs.net/doc/f02647631.html,/wls/docs70/webapp/sessions.html#100770

7、开两个浏览器窗口访问应用程序会使用同一个session还是不同的session参见第三小节对cookie的讨论，对session来说是只认id不认人，因此不同的浏览器，不同的窗口打开方式以及不同的cookie存储方式都会对这个问题的答案有影响。

8、如何防止用户打开两个浏览器窗口操作导致的session混乱这个问题与防止表单多次提交是类似的，可以通过设置客户端的令牌来解决。就是在服务器每次生成一个不同的id返回给客户端，同时保存在session里，客户端提交表单时必须把这个id也返回服务器，程序首先比较返回的id与保存在session里的值是否一致，如果不一致则说明本次操作已经被提交过了。可以参看《J2EE 核心模式》关于表示层模式的部分。需要注意的是对于使用javascript window.open打开的窗口，一般不设置这个id，或者使用单独的id，以防主窗口无法操作，建议不要再window.open打开的窗口里做修改操作，这样就可以不用设置。

9、为什么在Weblogic Server中改变session的值后要重新调用一次session.setValue做这个动作主要是为了在集群环境中提示Weblogic Server session中的值发生了改变，需要向其他服务器进程复制新的session 值。

10、为什么session不见了排除session正常失效的因素之外，服务器本身的可能性应该是微乎其微的，虽然笔者在iPlanet6SP1加若干补丁的Solaris

版本上倒也遇到过；浏览器插件的可能性次之，笔者也遇到过3721插件造成的问题；理论上防火墙或者代理服务器在cookie处理上也有可能会出现问题。

出现这一问题的大部分原因都是程序的错误，最常见的就是在一个应用程序中去访问另外一个应用程序。我们在下一节讨论这个问题。

七、跨应用程序的session共享

常常有这样的情况，一个大项目被分割成若干小项目开发，为了能够互不干扰，要求每个小项目作为一个单独的web应用程序开发，可是到了最后突然发现某几个小项目之间需要共享一些信息，或者想使用session来实现SSO （single sign on），在session中保存login的用户信息，最自然的要求是应用程序间能够访问彼此的session.

然而按照Servlet规范，session的作用范围应该仅仅限于当前应用程序下，不同的应用程序之间是不能够互相访问对方的session的。各个应用服务器从实际效果上都遵守了这一规范，但是实现的细节却可能各有不同，因此解决跨应用程序session共享的方法也各不相同。

首先来看一下Tomcat是如何实现web应用程序之间session的隔离的，从Tomcat设置的cookie路径来看，它对不同的应用程序设置的cookie路径是不同的，这样不同的应用程序所用的session id是不同的，因此即使在同一个浏览器窗口里访问不同的应用程序，发送给服务器的session id也可以是不同的。

根据这个特性，我们可以推测Tomcat中session的内存结构大致如下。

笔者以前用过的iPlanet也采用的是同样的方式，估计SunONE与iPlanet 之间不会有太大的差别。对于这种方式的服务器，解决的思路很简单，实际实行起来也不难。要么让所有的应用程序共享一个session id，要么让应用程序能够获得其他应用程序的session id.

iPlanet中有一种很简单的方法来实现共享一个session id，那就是把各个应用程序的cookie路径都设为/（实际上应该是/NASApp，对于应用程序来讲它的作用相当于根）。

/NASApp

需要注意的是，操作共享的session应该遵循一些编程约定，比如在session attribute名字的前面加上应用程序的前缀，使得setAttribute（"name"，"neo"）变成setAttribute（"https://www.360docs.net/doc/f02647631.html,"，"neo"），以防止命名空间冲突，导致互相覆盖。

在Tomcat中则没有这么方便的选择。在Tomcat版本3上，我们还可以有一些手段来共享session.对于版本4以上的Tomcat，目前笔者尚未发现简单的办法。只能借助于第三方的力量，比如使用文件、数据库、JMS或者客户端cookie，URL参数或者隐藏字段等手段。

我们再看一下Weblogic Server是如何处理session的。

从截屏画面上可以看到Weblogic Server对所有的应用程序设置的cookie 的路径都是/，这是不是意味着在Weblogic Server中默认的就可以共享session了呢？然而一个小实验即可证明即使不同的应用程序使用的是同一个

session，各个应用程序仍然只能访问自己所设置的那些属性。这说明Weblogic Server中的session的内存结构可能如下

对于这样一种结构，在 session机制本身上来解决session共享的问题应该是不可能的了。除了借助于第三方的力量，比如使用文件、数据库、JMS或者客户端cookie，URL参数或者隐藏字段等手段，还有一种较为方便的做法，就是把一个应用程序的session放到ServletContext中，这样另外一个应用程序就可以从ServletContext中取得前一个应用程序的引用。示例代码如下，

应用程序A context.setAttribute（"appA"，session）；

应用程序B contextA = context.getContext（"/appA"）；HttpSession sessionA = （HttpSession）contextA.getAttribute（"appA"）；

值得注意的是这种用法不可移植，因为根据ServletContext的JavaDoc，应用服务器可以处于安全的原因对于context.getContext（"/appA"）；返回空值，以上做法在Weblogic Server 8.1中通过。

那么Weblogic Server为什么要把所有的应用程序的cookie路径都设为/呢？原来是为了SSO，凡是共享这个session的应用程序都可以共享认证的信息。一个简单的实验就可以证明这一点，修改首先登录的那个应用程序的描述符weblogic.xml，把cookie路径修改为/appA 访问另外一个应用程序会重新要

求登录，即使是反过来，先访问cookie路径为/的应用程序，再访问修改过路径的这个，虽然不再提示登录，但是登录的用户信息也会丢失。注意做这个实验时认证方式应该使用FORM，因为浏览器和web服务器对basic认证方式有其他的处理方式，第二次请求的认证不是通过session来实现的。具体请参看[7] secion 14.8 Authorization，你可以修改所附的示例程序来做这些试验。

八、总结

session机制本身并不复杂，然而其实现和配置上的灵活性却使得具体情况复杂多变。这也要求我们不能把仅仅某一次的经验或者某一个浏览器，服务器的经验当作普遍适用的经验，而是始终需要具体情况具体分析。

摘要：虽然session机制在web应用程序中被采用已经很长时间了，但是仍然有很多人不清楚session机制的本质，以至不能正确的应用这一技术。本文将详细讨论session的工作机制并且对在Java web application中应用session机制时常见的问题作出解答。

深入理解ServletJSP之Cookie和Session原理

由于H T T P协议的无状态特征，W e b应用中经常使用C o o k i e和S e s s i o n来保存用户在与系统交互过程中的状态数据。下面通过分析H T T P协议对C o o k i e和S e s s i o n的工作原理加以了解。 一、C o o k i e C o o k i e的含义是“服务器送给浏览器的甜点”，即服务器在响应请求时可以将一些数据以“键-值”对的形式通过响应信息保存在客户端。当浏览器再次访问相同的应用时，会将原先的C o o k i e通过请求信息带到服务器端。 下面的S e r v l e t展示了C o o k i e的功能。 ......... p u b l i c v o i d d o G e t(H t t p S e r v l e t R e q u e s t r e q u e s t,H t t p S e r v l e t R e s p o n s e r e s p o n s e) t h r o w s S e r v l e t E x c e p t i o n,I O E x c e p t i o n{ r e s p o n s e.s e t C o n t e n t T y p e("t e x t/h t m l"); P r i n t W r i t e r o u t=r e s p o n s e.g e t W r i t e r(); S t r i n g o p t i o n=r e q u e s t.g e t P a r a m e t e r("o p t i o n"); i f("s h o w".e q u a l s(o p t i o n)){ //获得请求信息中的C o o k i e数据 C o o k i e[]c o o k i e s=r e q u e s t.g e t C o o k i e s(); i f(c o o k i e s!=n u l l){ //找出名称（键）为“c o o l”的C o o k i e f o r(i n t i=0;i"+c o o k i e s[i].g e t N a m e()+":" +c o o k i e s[i].g e t V a l u e()+""); } } } }e l s e i f("a d d".e q u a l s(o p t i o n)){ //创建C o o k i e对象 C o o k i e c o o k i e=n e w C o o k i e("c o o l","y e a h!"); //设置生命周期以秒为单位 c o o k i e.s e t M a x A g e(20); //添加C o o k i e r e s p o n s e.a d d C o o k i e(c o o k i e); }

Session用法小结

https://www.360docs.net/doc/f02647631.html, Session详解及Session莫名丢失的原因及解决办法 作者:YanJun 日期:2007-07-29 字体大小: 小中大 Session模型简介 Session是什么呢？简单来说就是服务器给客户端的一个编号。当一台WWW服务器运行时，可能有若干个用户浏览正在运正在这台服务器上的网站。当每个用户首次与这台WWW服务器建立连接时，他就与这个服务器建立了一个Session，同时服务器会自动为其分配一个SessionID，用以标识这个用户的唯一身份。这个SessionID是由WWW服务器随机产生的一个由24个字符组成的字符串，我们会在下面的实验中见到它的实际样子。 这个唯一的SessionID是有很大的实际意义的。当一个用户提交了表单时，浏览器会将用户的SessionID自动附加在HTTP头信息中，（这是浏览器的自动功能，用户不会察觉到），当服务器处理完这个表单后，将结果返回给SessionID所对应的用户。试想，如果没有SessionID，当有两个用户同时进行注册时，服务器怎样才能知道到底是哪个用户提交了哪个表单呢。当然，SessionID还有很多其他的作用，我们会在后面提及到。 除了SessionID，在每个Session中还包含很多其他信息。但是对于编写ASP或https://www.360docs.net/doc/f02647631.html,的程序与来说，最有用的还是可以通过访问ASP/https://www.360docs.net/doc/f02647631.html,的内置Session对象，为每个用户存储各自的信息。例如我们想了解一下访问我们网站的用户浏览了几个页面，我们可能在用户可能访问到每个的页面中加入： <% If Session("PageViewed") = ""Then Session("PageViewed") = 1 Else Session("PageViewed") = Session("PageViewed") + 1 End If %> 通过以下这句话可以让用户得知自己浏览了几个页面：

APPlication,Session和Cookie的区别

APPlication,Session 和Cookie 的区别 方法信息量大小 保存时间应用范围保存位置 Application 任意大小整个应用程序的生命期 所有用户服务器端Session 小量,简单的数据用户活动时间+一段延迟时间(一般为20分钟) 单个用户服务器端Cookie 小量,简单的数据可以根据需要设定 单个用户客户端1.Application 对象 Application 用于保存所有用户的公共的数据信息,如果使用Application 对象,一个需要考虑的问题是任何写操作都要在Application_OnStart 事件(global.asax)中完成.尽管使用Application.Lock 和Applicaiton.Unlock 方法来避免写操作的同步,但是它串行化了对Application 对象的请求,当网站访问量大的时候会产生严重的性能瓶颈.因此最好不要用此对象保存大的数据集合 2.Session 对象 Session 用于保存每个用户的专用信息.她的生存期是用户持续请求时间再加上一段时间(一般是20分钟左右).Session 中的信息保存在Web 服务器内容中,保存的数据量可大可小.当Session 超时或被关闭时将自动释放保存的数据信息.由于用户停止使用应用程序后它仍然在内存中保持一段时间,因此使用Session 对象使保存用户数据的方法效率很低.对于小量的数据,使用Session 对象保存还是一个不错的选择.使用Session 对象保存信息的代码如下:// 存放信息Session["username"]="zhouhuan";//读取数据string UserName=Session["username"].ToString(); 3.Cookie 对象 Cookie 用于保存客户浏览器请求服务器页面的请求信息,程序员也可以用它存放非敏感性的用户信息，信息保存的时间可以根据需要设置.如果没有设置Cookie 失效日期,它们仅保存到关闭浏览器程序为止.如果将Cookie 对象的Expires 属性设置为Minvalue,则表示Cookie 永远不会过期.Cookie 存储的数据量很受限制,大多数浏览器支持最大容量为4096,因此不要用来保存数据集及其他大量数据.由于并非所有的浏览器都支持Cookie,并且数据信息是以明文文本的形式保存在客户端的计算机中,因此最好不要保存敏感的,未加密的数据,否则会影响网站的安全

session使用方法

session使用方法 在PHP开发中对比起Cookie，session是存储在服务器端的会话，相对安全，并且不像Cookie 那样有存储长度限制，本文简单介绍session的使用。 由于Session 是以文本文件形式存储在服务器端的，所以不怕客户端修改Session 内容。实际上在服务器端的Session 文件，PHP 自动修改session文件的权限，只保留了系统读和写权限，而且不能通过ftp 修改，所以安全得多。PHP China 开源社区门户k%W%e2C Y 对于Cookie 来说，假设我们要验证用户是否登陆，就必须在Cookie 中保存用户名和密码（可能是md5 加密后字符串），并在每次请求页面的时候进行验证。如果用户名和密码存储在数据库，每次都要执行一次数据库查询，给数据库造成多余的负担。因为我们并不能只做一次验证。为什么呢？因为客户端Cookie 中的信息是有可能被修改的。假如你存储$admin 变量来表示用户是否登陆，$admin 为true 的时候表示登陆，为false 的时候表示未登录，在第一次通过验证后将$admin 等于true 存储在Cookie，下次就不用验证了，这样对么？错了，假如有人伪造一个值为true 的$admin 变量那不是就立即取的了管理权限么？非常的不安全。 而Session 就不同了，Session 是存储在服务器端的，远程用户没办法修改session文件的内容，因此我们可以单纯存储一个$admin 变量来判断是否登陆，首次验证通过后设置$admin 值为true，以后判断该值是否为true，假如不是，转入登陆界面，这样就可以减少很多数据库操作了。而且可以减少每次为了验证Cookie 而传递密码的不安全性了（session验证只需要传递一次，假如你没有使用SSL 安全协议的话）。即使密码进行了md5 加密，也是很容易被截获的。 当然使用session还有很多优点，比如控制容易，可以按照用户自定义存储等（存储于数据库）。我这里就不多说了。 session在php.ini 是否需要设置呢？一般不需要的，因为并不是每个人都有修改PHP.ini 的权限，默认session的存放路径是服务器的系统临时文件夹，我们可以自定义存放在自己的文件夹里，这个稍后我会介绍。 开始介绍如何创建session。非常简单，真的。 启动session会话，并创建一个$admin 变量： 如果你使用了Seesion，或者该PHP 文件要调用Session 变量，那么就必须在调用Session 之前启动它，使用session_start() 函数。其它都不需要你设置了，PHP自动完成session文件的创建。

java web之会话技术cookie+session

会话技术 1.什么是会话： 指用户开一个浏览器，访问一个网站，只要不关闭该浏览器，不管该用户点击多少个超链接、访问多少个资源，直到用户关闭浏览器，整个这个过程我们成为一次会话 2.实际情况： 张三打开浏览器，进入淘宝，买了2样东西；李四打开浏览器，进入淘宝，买了3样东西。当这两位结账时，结账的s e r v l e t如何得到张三和李四买的东西，并为他两分别结账？ 3.使用会话保存数据 ?S e s s i o n ?C o o k i e 为什么需要C o o k i e? 情景1.张在访问某个网站的时候，看到了提示你上次登录网站的时间，而且不同用户上次登录时间不同，这个怎么实现 没有会话技术前：u s e r表每次用户登录就更新u s e r表里的时间 I d N a m e P a s s w o r d L o g i n_t i m e v i e w H i s t o r y 001A a A a2012-1-5 5:00:0022,33,2 5 002B b B b2012-3-12 6:00:0012,24,5 6 情景2.访问购物网的时候，能够看到曾经浏览过的商品，当然不同用户浏览过的商品不同 如果登录了，则可以用数据库 但如果没有登录那又怎么办?????? 情景3.保存登录密码及用户名 Cookie技术 1.服务器把每个用户的数据以cookie的形式写给用户各自的浏览器当用户使用浏览器再去访问服务器中的web资源时，就会带着各自的数据去 Servlet有一个Cookie类 Cookie(String name ,String value) 3.Cookie小结： ①Cookie在服务端创建 Cookie cookie = new Cookie(name,value); ②Cookie是保存在浏览器这端 response.addCookie(cookie); ③Cookie的生命周期可以通过cookie.setMaxAge(int second)来设置 Cookie默认生命周期是会话级别(即存储在浏览器的内存中) 如果没有设置setMaxAge()，则该cookie的生命周期当浏览器关闭时就挂了,setMaxAge(0) +response.addCookie(cookie),相当于删除Cookie 此时如果cookie文件内部只有该Cookie则,文件也一并删除;否则只删除该Cookie ④Cookie可以被多个浏览器共享

课题_Spring MVC中Session的正确用法之我见

Spring MVC是个非常优秀的框架，其优秀之处继承自Spring本身依赖注入（Dependency Injection）的强大的模块化和可配置性，其设计处处透露着易用性、可复用性与易集成性。优良的设计模式遍及各处，使得其框架虽然学习曲线陡峭，但一旦掌握则欲罢不能。初学者并不需要过多了解框架的实现原理，随便搜一下如何使用“基于注解的controller”就能很快上手，而一些书籍诸如“spring in action”也给上手提供了非常优良的选择。 网上的帖子多如牛毛，中文的快速上手，英文的深入浅出。这样看来，Spring的学习简直是一个轻松愉快的过程。 但是！！ 关于Spring中session的使用，大部分资料都讳莫如深。也许这个问题太过容易推断出？大部分资料都没有包括我下面所将要陈述的内容。关于Spring中session的正确使用方法，这里甚至建议直接使用Session。但这种方法显然违背了Spring “technology agnostic” （这个名词我理解意思就是无论你是在什么具体的应用中使用类似的控制逻辑，servlet、一个本地JVM 程序或者其他，你的Controller都可以得到复用）的初衷。 于是我开始从庞大的网络资源和书籍中搜索关于Session的正确用法及Spring MVC处理Session的机制，其中讲得最深入而且清楚的算是这一篇。从上文的内容，及我所查阅的比如官方文档这种资料中，我可以大约推断出几个要点： 1. Spring框架会在调用完Controller之后、渲染View之前检查Model的信息，并把@SessionAttributes()注释标明的属性加入session中 2. @ModelAttribute在声明Controller的参数的时候，可以用来表明此参数引用某个存在在Model中的对象，如果这个对象已经存在于Model中的话（Model可以在调用Controller之前就已经保存有数据，这应该不仅仅因为HandlerInterceptor或者 @ModelAttribute标记的方法已经显式的将一些对象加入到了Model对象中，也因为Spring会默认将一些对象加入到Model中，这一点很重要）。 3. 如果Session中已经存在某个对象，那么可以直接使用ModelAttribute声明Controller的参数，在Controller中可以直接使用它。 其中1很明确，我提到的那篇文章主要就在说明这一点。而从2和3我们也许可以大胆地推出一个结论： Spring会在调用Controller之前将session中的对象填入Model中 因为想从2得到3，这个结论就显得比较自然。那么事实上是不是如此呢？可以做一个小实验。仿效我所引用的那篇文章，我写了如下代码： @Controller @RequestMapping("/user") @SessionAttributes("userId") public class UserController { @RequestMapping(value="/login", method=GET) public String login ( int id, Model model, ServletRequest request, Session session) { model.addAttribute("userId", id); System.out.println("");

《web开发技术(java)》实验四——利用Session完成用户登录功能

《利用Session完成用户登录》 实验指导书 一、实验目的 理解会话对象的功能。 二、实验任务 1、利用会话对象完成用户的模拟登录功能（组织界面输入用户名密码，如果用户名等于neusoft，密码等于123则视作合法用户，并完成登录功能）。登录界面如下： 2、验证用户是否成功登录（如果已经登录显示登录用户信息，否则跳转到登录界面）。 成功登录界面如下：

验证成功登录界面如下： 三、预备知识 1.会话就是驻留服务器上的托管对象，位于JSP容器中。其主要作用是跟踪由一个用户发送的请求。 2.JSP容器与浏览器通过协作使用标准的HTTP协议来实现会话，JSP、Servlet开发人员无需实现会话，也不直接处理会话实现机制。只要能

够使用会话对象即可。 3.获取对象的方法：JSP中直接使用session对象即可，Servlet中需要调用HttpServletRequest实例的getSession()、getSession(flag)方法即可获得。getSession()以及getSession(true)完成的功能是：如果所需的会话不存在，立即创建；getSession(false)完成的功能是：若请求的会话存在，则获取使用，否则返回空值。 4.向会话中添加信息:调用HttpSession实例的setAttribute(String,Object)方法即可将要加的信息添加到Session，但注意如果要添加的属性名同已有的属性名重名，则当前值会覆盖原有的值。 5.获取属性中的信息:调用HttpSession实例的getAttribute(String)方法即可返回需要的值，注意方法的参数为属性的名称。 6.删除属性中的信息:有时根据需要将Session中已有的属性信息予以删除，此时需要调用HttpSession实例的romoveAttribute（String）删除指定的属性。 7.获取会话中所有的属性信息：有时可能根据需要，列出会列出会话中所有的属性值，此时需要调用HttpSession实例的getAttributeNames()方法获取所有的属性名，然后在根据这些属性名分别调用getAttribute(String)方法返回对应的属性值 四、实验步骤 1.创建Web项目 2.创建login.html首页 3.创建完成登录功能的Servlet或JSP

c#下使用cookie和session

c#如何记住用户的信息 记录加密之后的信息，确保用户的信息安全 使用cookie和session记录用户的信息 1、保存时间 session的默认保存时间是24分钟 cookie在没有设置的情况下关闭之后立即结束生命周期 设置cookie的时间，cookie-name.Expires=Date.Now.AddDays();/DateTime.MaxValue;(永久) C#读取设置Cookie 设置： HttpCookie cookie = new HttpCookie("cookieName"); cookie.Value = "name1" HttpContext.Current.Response.Cookies.Add(cookie); 读取： HttpContext.Current.Request.Cookies["cookieName"].Value 判断cookie是否存在： if(HttpContext.Current.Request.Cookies["cookieName"]==null){ //do something } 设置cookie有效期 cookie.Expires = DateTime.Now.AddDays(1); https://www.360docs.net/doc/f02647631.html,中Cookies的用法(转) 一，cookies 写入 方法1: Response.Cookies["username"].Value="gjy"; Response.Cookies["username"].Expires=DateTime.Now.AddDays(1); 方法2: System.Web.HttpCookie newcookie=new HttpCookie("username"); newcookie.Value="gjy"; newcookie.Expires=DateTime.Now.AddDays(1); Response.AppendCookie(newcookie); 创建带有子键的cookies: System.Web.HttpCookie newcookie=new HttpCookie("user"); newcookie.Values["username"]="gjy"; newcookie.Values["password"]="111";

几种session存储方式比较

几种session存储方式比较 1. 客户端cookie加密 这是我以前采用的方式，简单，高效。比较好的方法是自己采用cookie机制来实现一个session,在应用中使用此session实现。 问题：session中数据不能太多，最好只有个用户id。 参考实现：https://www.360docs.net/doc/f02647631.html, 2. application server的session复制 可能大部分应用服务器都提供了session复制的功能来实现集群，tomcat,jboss,was都提供了这样的功能。 问题： 性能随着服务器增加急剧下降，而且容易引起广播风暴； session数据需要序列化，影响性能。 如何序列化，可以参考对象的序列化和反序列化. 参考资料 Tomcat 5集群中的SESSION复制一 Tomcat 5集群中的SESSION复制二 应用服务器－JBoss 4.0.2集群指南 3. 使用数据库保存session 使用数据库来保存session,就算服务器宕机了也没事，session照样在。 问题： 程序需要定制； 每次请求都进行数据库读写开销不小(使用内存数据库可以提高性能，宕机就会丢失数据。可供选择的内存数据库有BerkeleyDB,MySQL的内存表); 数据库是一个单点，当然可以做数据库的ha来解决这个问题。 4. 使用共享存储来保存session 和数据库类似,就算服务器宕机了也没事，session照样在。使用nfs或windows文件共享都可以,或者专用的共享存储设备。 问题： 程序需要定制； 频繁的进行数据的序列化和反序列化，性能是否有影响； 共享存储是一个单点，这个可以通过raid来解决。 5. 使用memcached来保存session 这种方式跟数据库类似，不过因为是内存存取的，性能自然要比数据库好多了。 问题： 程序需要定制,增加了工作量； 存入memcached中的数据都需要序列化，效率较低； memcached服务器一死，所有session全丢。memchached能不能做HA 我也不知道，网站上没提。 参考资料 应用memcached保存session会话信息 正确认识memcached的缓存失效 扩展Tomcat 6.x，使用memcached存放session信息 6. 使用terracotta来保存session

Session的生命周期

Session的生命周期 以前在学习的时候没怎么注意，今天又回过头来仔细研究研究了一下Session的生命周期。 Session存储在服务器端，一般为了防止在服务器的内存中（为了高速存取），Sessinon 在用户访问第一次访问服务器时创建，需要注意只有访问JSP、Servlet等程序时才会创建Session，只访问HTML、IMAGE等静态资源并不会创建Session，可调用 request.getSession(true)强制生成Session。 Session什么时候失效？ 1. 服务器会把长时间没有活动的Session从服务器内存中清除，此时Session便失效。Tomcat中Session的默认失效时间为20分钟。 2. 调用Session的invalidate方法。 Session对浏览器的要求： 虽然Session保存在服务器，对客户端是透明的，它的正常运行仍然需要客户端浏览器的支持。这是因为Session需要使用Cookie作为识别标志。HTTP协议是无状态的，Session不能依据HTTP连接来判断是否为同一客户，因此服务器向客户端浏览器发送一个名为JSESSIONID的Cookie，它的值为该Session的id（也就是HttpSession.getId()的返回值）。Session依据该Cookie来识别是否为同一用户。 该Cookie为服务器自动生成的，它的maxAge属性一般为-1，表示仅当前浏览器内有效，并且各浏览器窗口间不共享，关闭浏览器就会失效。因此同一机器的两个浏览器窗口访问服务器时，会生成两个不同的Session。但是由浏览器窗口内的链接、脚本等打开的新窗口（也就是说

session应用详解

Session 对象 可以使用Session 对象存储特定用户会话所需的信息。这样，当用户在应用程序的Web 页之间跳转时，存储在Session 对象中的变量将不会丢失，而是在整个用户会话中一直存在下去。 当用户请求来自应用程序的Web 页时，如果该用户还没有会话，则Web 服务器将自动创建一个Session 对象。当会话过期或被放弃后，服务器将终止该会话。 Session 对象最常见的一个用法就是存储用户的首选项。例如，如果用户指明不喜欢查看图形，就可以将该信息存储在Session 对象中。有关使用Session 对象的详细信息，请参阅“ASP 应用程序”部分的“管理会话”。 注意会话状态仅在支持cookie 的浏览器中保留。 语法 Session.collection|property|method 集合 Contents 包含已用脚本命令添加到会话中的项目。 StaticObjects 包含通过