文档章节

对session的一些理解

whaon
 whaon
发布于 2013/03/11 17:06
字数 614
阅读 2057
收藏 18

由于HTTP协议的无状态性,我们可以用过cookie和session来标识某个用户,session实际上也是利用cookie来实现的,一般在请求头中看到的JSESSION=一串字符就是,如果客户端禁用了cookie,我们可以用通过url重写的方式来替代cookie

我们再来看一下request.getSession方法的解释

HttpSession getSession(boolean create)
Returns the current HttpSession associated with this request or, if there is no current session and create is true, returns a new session. 
If create is false and the request has no valid HttpSession, this method returns null.
就是说你不可能在一个方法里创建一个新的session来把前面已存在的session覆盖掉,否则session岂不是乱了

一般某个用户登录后,我们会把他的信息存在session里,如:

session.setAttribute("user", true);

而session是由web容器,如tomcat来维护的,容器会为session生成一个唯一ID,该ID可以通过session.getId()方法获得,然后,服务器会把该ID返回给浏览器,类似

Set-Cookie:JSESSIONID=C7328DFC03B54841EA5A11127791CEF5; Path=/SpringSecurityStudy/; HttpOnly
这样,用户访问其他页面时会带上信息,如:
Cookie:JSESSIONID=C7328DFC03B54841EA5A11127791CEF5
这时在服务端,我们就可以通过session.getAttribute("user") == true来判断用户是否登录,而实际上web容器会根据你的JSESSIONID找到对应的session,然后再取得该session的"user"值

session在服务端是有生命周期的,tomcat的话默认是30分钟,当然我们可以进行配置,或者在程序中设置,session在浏览器端是通过内存形式的cookie来存储的,也就是说如果浏览器关闭,该cookie也就消失了,但是在服务端的session不会立即消失,只到超时才会消失

我们可以通过发送请求来通知服务端来使session失效,这便是注销

在SpringSecurity中,我们一般通过

SecurityContextHolder.getContext().getAuthentication().getPrincipal()

来获取当前登录用户

实际上是,用户登录后,会执行以下操作

session.setAttribute("SPRING_SECURITY_CONTEXT", SecurityContext);

SecurityContextHolder.getContext() == session.getAttribute("SPRING_SECURITY_CONTEXT")
所以我们也可以通过
((SecurityContext) session.getAttribute("SPRING_SECURITY_CONTEXT")).getAuthentication().getPrincipal();
来取得用户

所以综上,SpringSecurity也是通过session来判断用户是否登录

值得一提的是,当我们访问JSP页面时,发现始终会有JSESSIONID,通过查看JSP页面生成的servlet会使用

session = pageContext.getSession();

所以一定会有session,这也说明了为什么在JSP页面中可以使用内置对象session


© 著作权归作者所有

共有 人打赏支持
whaon

whaon

粉丝 43
博文 39
码字总数 35115
作品 0
厦门
程序员
php关于对cookie与session的理解

对于cookie的理解: cookie是服务器留给客户端的礼物(小甜点),来完成服务器对用户的身份验证的一种方式 具体的来讲就是,当用户登录服务器的时候有服务器通过setCookie函数在客户端的浏览...

虫虫
2012/03/05
288
0
spark 大型项目实战(一):用户访问session分析(1) --模块介绍

模块的目标:对用户访问的session 进行分析 1、可以根据使用者指定的某些条件,筛选出指定的一些用户(有特定年龄、职业、城市); 2、对这些用户在指定日期范围内发起的session,进行聚合统...

u012957549
05/12
0
0
spring-session 存放在redis 失效问题

项目采用spring-session将session保存到redis中。 我有设置session的失效时间 项目启动后访问到登录界面,程序中会存一个session; 我在redis中看到的TTL是1200秒多(spring session的机制默...

天巧星-浪子燕青
06/13
0
0
ASP.NET页面传值

这个问题是上周去远洋公司面试的一道笔试题,面试的时候面试官也问到了,虽然事先有所准备当时也回答上了,但是从根本上说自己还不太理解。正好这两天做高效平台评教系统的时候用到了页面传值...

邵鸿鑫
2014/12/30
0
0
Hibernate中SessionFactory的理解(转载)

Session接口   Session接口对于Hibernate 开发人员来说是一个最重要的接口。然而在Hibernate中,实例化的Session是一个轻量级的类,创建和销毁它都不会占用很多资源。这在实际项目中确实很...

源-代码
2016/05/09
113
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

Spring详解

Spring详解(一)------概述 目录 1、什么是 Spring ? 2、Spring 起源 3、Spring 特点 4、Spring 框架结构 5、Spring 框架特征 6、Spring 优点   本系列教程我们将对 Spring 进行详解的介绍...

DemonsI
25分钟前
0
0
CentOS7系统Nginx安装

1、下载nginx,官方网站https://nginx.org wget https://nginx.org/download/nginx-1.14.0.tar.gz 2、下载Nginx Sticky Module,官方网站https://bitbucket.org/nginx-goodies/nginx-sticky-......

m_lm
28分钟前
0
0
使用zTree树控件(二)

1:treeNode.checked用于判断是勾选还是取消勾选。(treeNode指的是节点) 2:treeObj.transformToArray(nodes)用于查询nodes节点下的所有子节点,json格式。(treeObj为数的id)...

uug
29分钟前
0
0
export, import 和 export default的区别

ES6的两个功能: export 和 import export 对外输出模块 import 引入(加载)进来一个模块 一、export => import 单个变量 export var name = "lishi" 在其他文件里引用 import {name} f...

Js_Mei
33分钟前
1
0
打造RecyclerView的n级列表

先上效果图: 1.该多级列表的优势: 支持无限级列表展开 基于一个recyclerView实现 可以自定义每一级item的样式,定制化更强 2.设计的思路 数据结构List<ItemBean>,ItemBean类中有变量List<...

WelliJohn
43分钟前
1
1

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部