jsessionid的作用
一、概述
在web应用的开发中我们可能会看到这样的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=y。这跟一般的url基本一样,只有一个地方有区别,那就是 ;jessionid=xxxxxxxx。
这个参数有时候有,有时候又没有,说它是参数可又跟一般传递的参数不同,它是紧跟在url后面用分号来分隔的,用一般的request.getParameter()
方法还取不到。那这个参数到底是干嘛用的呢?要了解它还要先了解session的实现方式。
二、session和jsessionid
做web开发的同学都知道,http是无状态的会话协议,也就是说无法保存用户的信息。那如果有一些信息需要在用户的浏览活动中一直保持,该怎么做呢?我们可以把这些信息在每次请求的时候作为参数传递给服务器,但这样做既麻烦又耗费资源,这时候就体现出了session的重要性。
session是web开发中不可或缺的一个特性。它是对于一个特定的用户请求,在web服务器上保存的一个全局变量。有了它我们就可以把用户的一些信息保存在服务器上,而不用在服务器和客户端之间来回传递。
知道了session的作用,那session是怎么实现的呢?服务器上为每个用户都保存了一个session,那当用户请求过来的时候是怎么知道某一个用户应该对应哪个session呢?这时sessionid就派上用场了。每一个session都有一个id来作为标识,这个id会传到客户端,每次客户端请求都会把这个id传到服务器,服务器根据id来匹配这次请求应该使用哪个session。jsessionid就是j2ee实现的web容器用来保存sessionid的变量。
一般对于web应用来说,客户端变量都会保存在cookie中,jsessionid也不例外。不过与一般的cookie变量不同,jsessionid是保存在内存cookie中的,在一般的cookie文件中是看不到它的影子的。内存cookie在打开一个浏览器窗口的时候会创建,在关闭这个浏览器窗口的时候也同时销毁。这也就解释了为什么session变量不能跨窗口使用,要跨窗口使用就需要手动把jsessionid保存到cookie里面。
三、禁用cookie的场景
在上一节我们了解了session的实现方式,同时也知道了session跟jsessionid紧密不可分割的联系。只有通过jsessionid才能使session机制起作用,而jsessionid又是通过cookie来保存。
看到这里,也许你会发现一个问题,如果用户禁用了cookie,那jsessionid不是就不能保存了吗?session不是不起作用了吗?我们真的对此束手无策了吗?当然不是。
在用户禁用了cookie时候,我们可以通过url重写来实现jsessionid的传递。这就是上面提到的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=y。jessionid通过这样的方式来从客户端传递到服务器端,从而来标识session。注意一点,jsessionid跟一般的url参数传递方式是不同的,不是作为参数跟在问号?
后面,而是紧跟在url后面用;
来分隔。这样在用户禁用cookie的时候我们也可以传递jsessionid来使用session了,只不过需要每次都把jseesionid作为参数跟在url后面传递。那这样岂不是很麻烦,每次请求一个url都要判断cookie是否可用,如果禁用了cookie,还要从url里解析出jsessionid,然后在转发请求时, 还得手动添加jsessionid,以保持jsessionid的传递。
这些问题sun当然已经帮我们想到了,所以提供了2个方法来使事情变得简单:response.encodeURL()
和response.encodeRedirectURL()
。这2个方法会判断cookie是否可用,如果禁用了会解析出url中的jsessionid,并连接到指定的url后面,如果没有找到jessionid会自动帮我们生成一个。
在调用httpServletResponse.sendRedirect
前,应该先调用encodeRedirectURL()
方法,否则可能会丢失Sesssion信息。例如:response.sendRedirect(response.encodeURL("/myapp/input.jsp"));
。如果cookie没有禁用,我们在浏览器地址栏中看到的地址是这样的:/myapp/input.jsp
,如果禁用了cookie,我们会看到:/myapp/input.jsp;jsessionid=73E6B2470C91A433A6698C7681FD44F4
。
所以,我们在写web应用的时候,为了保险起见,应该在程序里的每一个跳转url上都使用这2个方法,来保证session的可用性。