第二章_session管理

2.1 网址重写

网址重写是一种session追踪技术，需要将一个或多个token做为一个查询字符串添加到一个url中。token的格式一般是键=值。

url?key-1=value-1&key-2=value-2...&key-n=value-n

利用隐藏域来保持状态，与采用网址重写技术类似。但它不是将值添加到url后面，而是将他们放在html表单的隐藏域中。当用户提交表单时，隐藏域的值也传送到服务器。只有当页面包含表单，或者可以在页面中添加表单时，才适合使用隐藏域。这种技术胜过网址重写的地方在于，可以将更多的字符传到服务器，并且不需要进行字符编码。但是像网址重写一样，也只有当要传递的信息不需要跨越多个页面时，才适合使用这种技术。常见的隐藏域我们用来显示id，这样方便编辑的时候可以根据id获取到值显示出来。

cookie是自动在web服务器和浏览器之间来回传递的一小块信息。cookie适用于那些需要跨越许多页面的信息。由于cookie是做为http标头嵌入的，因此传输他的过程由http协议处理。除此之外，还可以根据自己的需要设置cookie的有效期限。对于web浏览器而言，每台web服务器最多可以支持20额cookie。

cookie的不足之处在于，用户可以通过修改他的浏览器设置来拒绝接受cookie。

要使用cookie，必须熟悉javax.servlet.http.cookie类，以及httpservletrequest和httpservletresponse接口中的几个方法。

要创建一个cookie，传递一个名称和一个值给cookie类的构造器：

cookie cookie = new cookie(name,value) ;

例如，要创建一个选择语言的cookie，可以这么写：

cookie languageselectioncookie = new cookie(“language”,”italian”) ;

创建cookie之后，可以设置他的domain、path及maxage属性。尤其值得关注的是maxage属性，因为它决定cookie的有效期。

httpservletresponse.addcookie(cookie);

当浏览器再次发出对同一个资源或者对同一台服务器中的不通资源的请求时，它会同时把从web浏览器处收到的cookie再传回去。

要访问浏览器发出的cookie，可以在httpservletrequest中使用getcookies方法。该方法将返回一个cookie数组，如果请求中没有cookie，将返回null。为了找到某个名称的cookie，需要迭代数组。下面举个例子，看看如何读取一个名为maxrecords的cookie。

cookie[] cookies = request.getcookies() ;  

        cookie maxrecordscookie = null ;  

        if(cookies != null){  

            for(cookie cookie:cookies){  

                if(cookie.getname().equals("maxrecords")){  

                    maxrecordscookie = cookie ;  

                    break ;  

                }  

            }  

        }  

令人遗憾的是，没有getcookiebyname方法可以使获取cookie变得更简单一些。更令人难过的是，也没有方法可以直接删除cookie。为了删除cookie，需要创建一个同名的cookie，将它的maxage属性设置为0，并在httpservletresponse中添加一个新的cookie。看看下面是如何删除一个名为username的cookie的：

cookie cookie = new cookie(“username”,””) ;

cookie.setmaxage(0) ;

response.addcookie(cookie) ;

httpsession是当一个用户第一次访问某个网站时自动创建的。通过在httpservletrequest中调用getsession方法，可以获取用户的httpsession。getsession有两个重载方法：

httpsession getsession()

httpsession getsession(boolean create)

无参的getsession方法返回当前的httpsession，如果当前没有，则创建一个并返回。getsession(false)方法返回当前的httpsession(若有)，如果没有，则返回null。getsession(true)方法返回当前的httpsession(若有)，如果没有，则新建一个并返回。getsession(true)和getsession是一样的。

放在httpsession中的值是保存在内存中的。

通过在httpsession中调用getattribute方法，同时传递一个属性名称，可以获取httpsession中保存的对象。这个方法的签名如下：

java.lang.object getattribute(java.lang.string name)

httpsession中另一个有用的方法是getattributenames，它返回一个enumeration，迭代一个httpsession中的所有属性：

java.util.enumeration<java.lang.string> getattributenames()

注意，httpsession中保存的值不发送到客户端，这与其他的session管理方法不同。而是servlet容器为它所创建的每一个httpsession生成一个唯一标识符，并将这个标识符做为一个token发送给浏览器，一般是做为一个名为jsessionid的cookie，或者做为一个jessionid参数添加到url后面。在后续的请求中，浏览器会将这个token发送回服务器，使服务器能够知道是哪个用户在发出请求。无论servlet容器选择用哪一种方式传输session标识符，那都是在后台自动完成的，不需要你去做额外的处理工作。

java.lang.string getid()

httpsession中还定义了一个invalidate方法。这个方法强制session过期，并将绑定到它的所有对象都解除绑定。在默认情况下，httpsession是在用户静默一定时间之后过期，可以在部署描述符的session-timeout元素中将session的期限设置为整个应用程序。例如，将这个值设为30，使所有session对象在用户最后一次访问之后30分钟过期。如果没有配置这个元素，这个期限将由servlet容器决定。

很多时候，还需要销毁未过期却又没用的httpsession实例，以便释放一些内存空间。

可以调用getmaxinactiveinterval方法，以了解一个httpsession在用户最后一次访问之后还可以维持多久。这个方法返回用户离开的秒数。setmaxinactiveinterval方法可以帮助你为个别httpsession的session期限设置一个不同的值。

void setmaxinactiveinterval(int seconds)

如果向这个方法传递0，那么httpsession将永远不会过期。一般来说，这不是一个好方法，因为httpsession占用的堆（heap）空间将永远不会释放，直到应用程序卸载或servlet容器关闭为止。