文档章节

对session的一些理解

whaon
 whaon
发布于 2013/03/11 17:06
字数 614
阅读 2062
收藏 18

由于HTTP协议的无状态性,我们可以用过cookie和session来标识某个用户,session实际上也是利用cookie来实现的,一般在请求头中看到的JSESSION=一串字符就是,如果客户端禁用了cookie,我们可以用通过url重写的方式来替代cookie

我们再来看一下request.getSession方法的解释

HttpSession getSession(boolean create)
Returns the current HttpSession associated with this request or, if there is no current session and create is true, returns a new session. 
If create is false and the request has no valid HttpSession, this method returns null.
就是说你不可能在一个方法里创建一个新的session来把前面已存在的session覆盖掉,否则session岂不是乱了

一般某个用户登录后,我们会把他的信息存在session里,如:

session.setAttribute("user", true);

而session是由web容器,如tomcat来维护的,容器会为session生成一个唯一ID,该ID可以通过session.getId()方法获得,然后,服务器会把该ID返回给浏览器,类似

Set-Cookie:JSESSIONID=C7328DFC03B54841EA5A11127791CEF5; Path=/SpringSecurityStudy/; HttpOnly
这样,用户访问其他页面时会带上信息,如:
Cookie:JSESSIONID=C7328DFC03B54841EA5A11127791CEF5
这时在服务端,我们就可以通过session.getAttribute("user") == true来判断用户是否登录,而实际上web容器会根据你的JSESSIONID找到对应的session,然后再取得该session的"user"值

session在服务端是有生命周期的,tomcat的话默认是30分钟,当然我们可以进行配置,或者在程序中设置,session在浏览器端是通过内存形式的cookie来存储的,也就是说如果浏览器关闭,该cookie也就消失了,但是在服务端的session不会立即消失,只到超时才会消失

我们可以通过发送请求来通知服务端来使session失效,这便是注销

在SpringSecurity中,我们一般通过

SecurityContextHolder.getContext().getAuthentication().getPrincipal()

来获取当前登录用户

实际上是,用户登录后,会执行以下操作

session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContext);

SecurityContextHolder.getContext() == session.getAttribute("SPRING_SECURITY_CONTEXT")
所以我们也可以通过
((SecurityContext) session.getAttribute("SPRING_SECURITY_CONTEXT")).getAuthentication().getPrincipal();
来取得用户

所以综上,SpringSecurity也是通过session来判断用户是否登录

值得一提的是,当我们访问JSP页面时,发现始终会有JSESSIONID,通过查看JSP页面生成的servlet会使用

session = pageContext.getSession();

所以一定会有session,这也说明了为什么在JSP页面中可以使用内置对象session


© 著作权归作者所有

共有 人打赏支持
whaon

whaon

粉丝 45
博文 40
码字总数 36716
作品 0
厦门
程序员
php关于对cookie与session的理解

对于cookie的理解: cookie是服务器留给客户端的礼物(小甜点),来完成服务器对用户的身份验证的一种方式 具体的来讲就是,当用户登录服务器的时候有服务器通过setCookie函数在客户端的浏览...

虫虫
2012/03/05
288
0
spark 大型项目实战(一):用户访问session分析(1) --模块介绍

模块的目标:对用户访问的session 进行分析 1、可以根据使用者指定的某些条件,筛选出指定的一些用户(有特定年龄、职业、城市); 2、对这些用户在指定日期范围内发起的session,进行聚合统...

u012957549
05/12
0
0
spring-session 存放在redis 失效问题

项目采用spring-session将session保存到redis中。 我有设置session的失效时间 项目启动后访问到登录界面,程序中会存一个session; 我在redis中看到的TTL是1200秒多(spring session的机制默...

天巧星-浪子燕青
06/13
0
0
解析PHP默认的session_id生成算法

作为一个web程序猿,我们对session肯定都不陌生,session id是我们各自在服务器上的一个唯一标志,这个id串既可以由php自动来生成,也可以由我们来赋予。你们可能和我一样,很关心php自动生成...

大道至簡
2014/08/03
0
0
Hibernate中SessionFactory的理解(转载)

Session接口   Session接口对于Hibernate 开发人员来说是一个最重要的接口。然而在Hibernate中,实例化的Session是一个轻量级的类,创建和销毁它都不会占用很多资源。这在实际项目中确实很...

源-代码
2016/05/09
113
0

没有更多内容

加载失败,请刷新页面

加载更多

可爱的python测试开发库(python测试开发工具库汇总)

欢迎转载,转载请注明来源: github地址 谢谢点赞 本文地址 相关书籍下载 测试开发 Web UI测试自动化 splinter - web UI测试工具,基于selnium封装。 链接 selenium - web UI自动化测试。 链...

python测试开发人工智能安全
今天
2
0
Shiro | 实现权限验证完整版

写在前面的话 提及权限,就会想到安全,是一个十分棘手的话题。这里只是作为学校Shiro的一个记录,而不是,权限就应该这样设计之类的。 Shiro框架 1、Shiro是基于Apache开源的强大灵活的开源...

冯文议
今天
1
0
linux 系统的运行级别

运行级别 运行级别 | 含义 0 关机 1 单用户模式,可以想象为windows 的安全模式,主要用于修复系统 2 不完全的命令模式,不含NFS服务 3 完全的命令行模式,就是标准的字符界面 4 系统保留 5 ...

Linux学习笔记
今天
2
0
学习设计模式——命令模式

任何模式的出现,都是为了解决一些特定的场景的耦合问题,以达到对修改封闭,对扩展开放的效果。命令模式也不例外: 命令模式是为了解决命令的请求者和命令的实现者之间的耦合关系。 解决了这...

江左煤郎
今天
3
0
字典树收集(非线程安全,后续做线程安全改进)

将500W个单词放进一个数据结构进行存储,然后进行快速比对,判断一个单词是不是这个500W单词之中的;来了一个单词前缀,给出500w个单词中有多少个单词是该前缀. 1、这个需求首先需要设计好数据结...

算法之名
昨天
15
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部