JSP中的 session 对象

因为 JavaWeb 应用是采用 HTTP 协议完成服务端和客户端之间的通信的，而 HTTP 协议是无状态的，每次连接都是全新的方式，完全不记得上一次发生了什么。那每次发送新的请求，服务端怎么判断这是谁在进行操作呢？比如用户使用 web 应用提供的服务，通常都会在多个页面之间进行跳转，这肯定免不了需要客户端重新发送请求。这时候怎么判断当前用户就是当前用户呢？

其实在编写 JavaWeb 应用的时候，可以采用四种方式来实现这个机制，分别是网址重写、隐藏域、cookie 和 HttpSession 。详细内容可以参考《Servlet&JSP学习指南》一书！

前三种其实都是利用它的机制自己手工管理，根本就不适用，知道不仅仅只有 session 这一个机制就可以了，但是只有 session 机制才是 JavaWeb 技术提供的实现记住用户的功能官方机制。以后都用它就可以了！

HttpSession 机制

为了解决 HTTP 协议这种无状态的特性，当客户端第一次访问 web 应用的动态组件(如 JSP 或者 Servlet)时，服务端(Tomcat)就会创建一个唯一代表此次会话的 session 对象，用来唯一标识此次会话的客户端浏览器。

这句话说起来好模糊，真正底层的实现机制是，当客户端第一次访问 web 应用的动态组件(如 JSP 或者 Servlet)时，服务端会自动创建一个 Cookie 对象，这个 Cookie 对象的 name 属性值是JSESSIONID，value 属性值是动态生成的占据 16 个字节长度的用 16 进制表示的一个字符串，这个 value 属性值才是真正唯一标识此次会话的客户端的关键。

然后通过 response 对象的addCookie(Cookie cookie)方法将这个 Cookie 信息添加到 response 对象中去，一次请求结束后，经由 Servlet 容器进行解析生成响应报文发送给浏览器处理。而且并咩有设定 Cookie 对象的生存周期，所以这个 Cookie 对象默认是保存在浏览器的运行内存中。浏览器一旦关闭，这个 Cookie 对象就不复存在，服务端对应的 Session 对象就无用了，会被 GC 当然垃圾对象回收。所以说，浏览器关闭就代表一次会话结束了，其本质是这个系统 Cookie 对象消失了。点此查看 Cookie 相关笔记

如何证明 Cookie 中的系统 Cookie 对象和服务端保存的唯一代表此次会话的 session 对象是一一对应的呢？Cookie 对象可以通过 String getValue()方法得到这个 JSESSIONID 的值，session 对象也可以通过String getId()方法得到这个 session 对象的唯一标识符。结果显示这两个字符串是相同的，这就是一个有力证明了。

总结一下，具体的执行流程如下：如果是浏览器第一次访问 web 应用，此时肯定是没有系统 Cookie 的，因为系统 Cookie 对象只存放在浏览器运行内存中，浏览器一旦关闭， Cookie 对象就会被销毁。那么 Servlet容器发现没有系统 Cookie 对象，就会自己创建一个 session 对象，就会通过 response 对象的 addCookie() 方法设定将这个 session 对象的 ID 封装到系统 Cookie 中去。在后面的这个会话周期内，浏览器发送请求会带着这个系统 Cookie 对象到服务端，服务端通过这个 Cookie 对象的 value 值找到这次会话对应的 session 对象，如果这个时候用 isNew() 方法进行判断的话，肯定返回 false 。这所有的工作都由 Tomcat 帮忙做了，但是理解背后的运行机制，就能够更好的应用

session 的这种实现机制，决定了它无法感受到会话结束。但如果不及时清空废弃掉的 session 对象，服务端内存会被这种垃圾对象占满。所以 session 对象需要指定其生存时间，由 Tomcat 自动去管理它的生存周期。比如可以通过在 web.xml 中进行配置其生存时间。

HttpSession 接口提供的常用的几个方法

HttpSession 实现类的内部持有有一个 Map 接口的属性，专门用来存储键值对的数据，也就是存放属性名和属性值。

• public void setAttribute(String name, Object value)，设置属性
• public Object getAttribute(String name)，获得指定属性名的属性值
• Enumeration<String> getAttributeNames()，获得一个可以用来遍历所有属性名的 Enumeration 迭代器对象。
• String getId() 得到 JSESSIONID 值。

和 session 对象声明周期有关的方法

• void invalidate()，可以在程序中手动调用此方法，Servlet 容器就会销毁该对象。当前客户端(也就是不关闭浏览器的情况下)一次发送请求过来， Servlet 容器会为它创建一个新的对象。
• int getMaxInactiveInterval()，得到 session 对象的剩余生存时间，返回的时间单位是秒。
• void setMaxInactiveInterval(int interval)，设置 session 对象的剩余生存时间，同样是以秒为基本单位，设置为 0 时，表示永久生存，也就是长生不老。

还可以在 web.xml 中配置 session 对象的生存时间，时间到了后， Servlet 容器会主动销毁该对象。配置方法如下：

<session-config>  
    <session-timeout>1800</session-timeout>  
</session-config>  

session 对象还有一个boolean isNew()方法判断 JSP 页面或者 Servlet 中当前拿到的这个 session 对象是本次请求新创建的，还是之前的请求就已经存在的，根据它可以判断用户是不是第一次登录此系统。

它内部实现机制，应该是判断 request 对象中是否携带了系统 Cookie 对象。如果有，那就不是此次请求创建的，那肯定会返回 false 。如果没有系统 Cookie 对象，就会返回 true 。