day22-web開發對談技術04
WEB開發對談技術04
14.Session生命週期
14.1生命週期說明
-
public void setMaxInactiveInterval(int interval):設定session的超時時間(以秒為單位),超過指定的時長,session就會被銷燬。 -
值為正數的時候,設定session的超時時長。
-
值為負數時,表示永不超時
-
public int getMaxInactiveInterval()表示獲取session的超時時間 -
public void invalidate()表示讓當前的session對談立即無效 -
如果沒有呼叫
setMaxInactiveInterval(int interval)來指定session的生命時長,Tomcat會以session的預設時長為準,session的預設時長為30分鐘,可以在tomcat目錄的conf目錄下的web.xml中設定。
-
Session的生命週期指的是:使用者端兩次請求的最大間隔時長,而不是累積時長。即當用戶端存取了自己的session,session的生命週期將將從0開始重新計算。(指的是同一個對談兩次請求之間的間隔時間)
cookie的生命週期指的是累積時長
-
Tomcat用一個執行緒來輪詢對談狀態,如果某個對談的空閒時間超過設定的最大值,則將該對談銷燬。
說明:在存放session物件的map中,會記錄所有session物件的生命週期和session的上次被存取時間。Tomcat維護的執行緒每隔一定時間就會去掃描這個map,如果發現有某個session物件的上次被存取時間已超過了其生命週期,就會將其刪除。如果瀏覽器在對應session物件沒有過期的情況下去存取該session,那麼這個session的上次存取時間就會被更新成最新存取的時間。
14.2案例演示1
案例演示1:session的生命週期
web.xml:
<!--CreateSession2-->
<servlet>
<servlet-name>CreateSession2</servlet-name>
<servlet-class>com.li.session.CreateSession2</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>CreateSession2</servlet-name>
<url-pattern>/createSession2</url-pattern>
</servlet-mapping>
<!--ReadSession2-->
<servlet>
<servlet-name>ReadSession2</servlet-name>
<servlet-class>com.li.session.ReadSession2</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>ReadSession2</servlet-name>
<url-pattern>/readSession2</url-pattern>
</servlet-mapping>
CreateSession2:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class CreateSession2 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("CreateSession2 被呼叫");
//1.建立session
HttpSession session = request.getSession();
System.out.println("CreateSession2 sid= " + session.getId());
//2.設定生命週期為60秒
session.setMaxInactiveInterval(60);
//3.放屬性
session.setAttribute("u", "jack");
//4.給瀏覽器傳送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>建立session成功,設定生命週期為60s</h1>");
writer.flush();
writer.close();
}
}
ReadSession2:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class ReadSession2 extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("ReadSession2 被呼叫");
//1.獲取到session
HttpSession session = request.getSession();
System.out.println("ReadSession2 sid= " + session.getId());
//2.讀取session的屬性
Object u = session.getAttribute("u");
if (u != null) {
System.out.println("讀取到session屬性 u= " + (String) u);
} else {
System.out.println("讀取不到session屬性u,說明原來的session已經被銷燬了");
}
//3.給瀏覽器傳送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>讀取session成功</h1>");
writer.flush();
writer.close();
}
}
-
redeployTomcat,首先在瀏覽器中存取
http://localhost:8080/cs/createSession2建立session,然後在設定的60s生命週期記憶體取http://localhost:8080/cs/readSession2讀取session,後臺輸出如下:
-
等待60s後,再次存取
http://localhost:8080/cs/readSession2,後臺輸出如下:
可以看到session的id和之前不一樣了,說明伺服器建立了新的session,原來的session因為超過了生命週期已經被銷燬。
-
在瀏覽器抓包,也可以看出伺服器返回了一個新的jsessionid值:
-
重新存取
http://localhost:8080/cs/createSession2建立session,然後分別在其30s,70s後存取http://localhost:8080/cs/readSession2,後臺輸出的sid是一致的,說明session的生命週期的計算不是累積的,而是使用者端兩次請求的最大間隔時長。
14.2案例演示2
案例演示2:刪除session
web.xml:
<!--DeleteSession-->
<servlet>
<servlet-name>DeleteSession</servlet-name>
<servlet-class>com.li.session.DeleteSession</servlet-class>
</servlet>
<servlet-mapping>
<servlet-name>DeleteSession</servlet-name>
<url-pattern>/deleteSession</url-pattern>
</servlet-mapping>
DeleteSession:
package com.li.session;
import javax.servlet.*;
import javax.servlet.http.*;
import java.io.IOException;
import java.io.PrintWriter;
public class DeleteSession extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
//System.out.println("DeleteSession 被呼叫");
//演示如何刪除session
HttpSession session = request.getSession();
session.invalidate();
//如果要刪除session的某個方法,使用session.removeAttribute
//給瀏覽器傳送一個回覆
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>刪除session成功</h1>");
writer.flush();
writer.close();
}
}
redeployTomcat,首先存取http://localhost:8080/cs/createSession2,建立session,然後存取http://localhost:8080/cs/deleteSession,刪除此session。這時我們再存取http://localhost:8080/cs/readSession2讀取session當前的sid,可以發現session已經不再是之前那個session了,說明之前建立的session已經被刪除。
後臺輸出如下:
15.Session經典案例-防止非法進入管理頁面
需求說明:完成防止使用者登入管理頁面應用案例
說明:
- 只要密碼為666666,就認為是登入成功,使用者名稱不限制
- 如果驗證成功,則進入管理頁面ManageServlet.java,否則進入error.html
- 如果使用者直接存取ManageServlet.java,直接重定向到login.html。即不允許在未驗證的情況下直接存取管理頁面。
練習
思路:
-
首先在loginCheckServlet判斷使用者資料是否合法。如果合法,建立儲存一個session,將使用者資料儲存到session中,並請求轉發到ManageServlet。如果非法,則請求轉發到error.html。
-
在ManageServlet中,首先獲取session。如果該session中有設定的使用者資料,說明在此次請求之前,建立過session,並在伺服器儲存了該session物件,即使用者登入過,因此可以直接存取管理頁面。否則,就說明此次請求之前沒有建立過session,該session是新建立的,使用者沒有登入驗證過,就重定向到login.html。
LoginCheckServlet:
package com.li.session.hw;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.annotation.*;
import java.io.IOException;
@WebServlet(name = "LoginCheckServlet", urlPatterns = {"/loginCheckServlet"})
public class LoginCheckServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
/**
* 首先在loginCheckServlet判斷使用者資料是否合法。
* 1.如果合法,建立一個session,給session設定使用者資料,並直接請求轉發到ManageServlet
* 2.如果非法,請求轉發到error.html。
*/
//獲取表單資料
String username = request.getParameter("username");
String pwd = request.getParameter("pwd");
if ("666666".equals(pwd)) {//如果資料合法
//請求轉發到ManageServlet
HttpSession session = request.getSession();
session.setAttribute("username", username);
//伺服器來解析 /
request.getRequestDispatcher("/manageServlet").forward(request, response);
} else {//資料非法,請求轉發到error.html
//伺服器來解析 /
request.getRequestDispatcher("/error.html").forward(request, response);
}
}
}
ManageServlet:
package com.li.session.hw;
import javax.servlet.*;
import javax.servlet.http.*;
import javax.servlet.annotation.*;
import java.io.IOException;
import java.io.PrintWriter;
@WebServlet(name = "ManageServlet", urlPatterns = {"/manageServlet"})
public class ManageServlet extends HttpServlet {
@Override
protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
doPost(request, response);
}
@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
/**
* 在ManageServlet中,首先獲取session。
* 1.如果該session中有設定的使用者資料,說明在此次請求之前,建立過session,
* 並在伺服器儲存了該session物件,即使用者登入過,因此可以直接存取管理頁面。
* 2.否則,就說明此次請求之前沒有建立過session,該session是新建立的,
* 使用者沒有登入驗證過,就重定向到login.html。
*/
HttpSession session = request.getSession();
Object username = session.getAttribute("username");
// username=null 說明是新建立的session,說明該使用者沒有登入過
if (username == null) {
//瀏覽器解析的 /
response.sendRedirect("/cs/login.html");
return;
} else {
//否則說明瀏覽器有對應的session(即已經登入驗證過),可以直接存取管理頁面
//顯示頁面
response.setContentType("text/html;charset=utf-8");
PrintWriter writer = response.getWriter();
writer.print("<h1>使用者管理頁面</h1><br/>" + "歡迎你,管理員:"
+ username.toString());
writer.flush();
writer.close();
}
}
}
error.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登入失敗</title>
</head>
<body>
<h1>登入失敗</h1>
<a href="/cs/login.html">點選返回重新登入</a>
</body>
</html>
login.html:
<!DOCTYPE html>
<html lang="en">
<head>
<meta charset="UTF-8">
<title>登入頁面</title>
</head>
<body>
<form action="/cs/loginCheckServlet" method="post">
使用者名稱:<input type="text" name="username"/><br/><br/>
密碼:<input type="password" name="pwd"/><br/>
<input type="submit" value="登入"/>
</form>
</body>
</html>
-
redeployTomcat,在瀏覽器存取
http://localhost:8080/cs/login.html,輸入正確的密碼,成功登入並顯示頁面。
-
此時如果在新分頁位址列存取
http://localhost:8080/cs/manageServlet,是可以直接顯示頁面的,因為之前已經登入過了。
-
如果沒有登入就存取
http://localhost:8080/cs/manageServlet,會重定向到登入頁面,無法直接存取管理頁面。