1、服务器如何确保在一次会话范围内,多次获取的Session对象是同一个?

  • Session的实现是依赖于Cookie的
  • 第一次获取Session,没有Cookie,会在内存中创建一个新的Session对象,同时在响应头中设置set-cookie:JSESSIONID = Session对象ID。
  • 后续请求其他资源时,请求头会携带上次的cookie:JESSIONID = Session对象ID。
  • 服务器自动获取请求头重的cookie信息,根据cookie信息去查找内存中id为JESSIONID的Session对象,找到后返回此Session对象的标记。
  • 所以通过cookie的方式确保再一次会话范围内多次获取的Session对象为同一个。

2、当客户端关闭后,服务器不关闭,两次获取Session是否为同一个?

  • 默认情况下,不是同一个,Session依赖于Cookie,Cookie在浏览器关闭时会被销毁,并且Session只在一次会话中获取的Session对象为同一个,客户端关闭意味着会话结束。

  • 如果需要相同,则可以创建Cookie,设置Cookie键为JESSIONID,值为session.getid(),然后设置Cookie最大存活时间,让Cookie持久化保存。

    1
    2
    3
    Cookie cookie = new Cookie("JSESSIONID", session.getId());
    cookie.setMaxAge(60 * 60);
    response.addCookie(cookie);

  • 还是上面那句话,Session的实现是依赖于Cookie的。

3、客户端不关闭,服务器关闭后,两次获取Session是否为同一个?

  • 不是同一个,但是会因此引发问题:原操作的数据,在服务器重启后会丢失(购物车结算案例)。

    解决方法:

  • Session的钝化:在服务器正常关闭之前,将session对象系列化到磁盘上。

  • Session的活化:在服务器启动后,将Session文件转化为内存中的Session对象即可。

  • Tomcat已帮忙处理了Session的钝化和活化,钝化即在正常关闭(./shutdown.sh)Tomcat时,会在Tomcat主目录work子目录对应项目文件夹下生成.ser文件,存储了session对象。活化即在重启Tomcat时,Tomcat自动读取该.ser文件,转化为内存中的Session对象,同时删除该.ser文件。

  • IDEA可以实现Session的钝化,但无法实现Session的活化。原因在于IDEA在重启Tomcat时,会删除原存储.ser文件的work目录,同时生成新的work目录,所以无法读取.ser文件,自然无法实现Session的活化。

4、Session的失效时间(Session什么时候被销毁)?

  • 服务器关闭。

  • Session对象调用invalidate()方法。

  • Session默认失效时间:30min,Tomcat的conf目录下web.xml文件中自行配置。

    1
    2
    3
    <session-config>
    	<session-timeout>30</session-timeout>
    </session-config>

5、Session的特点

  1. Session用于存储一次会话的多次请求的数据,存在服务器端。
  2. Session用于存储任意类型、任意大小的数据。
  3. Session与Cookie的区别:
    • Session存储数据在服务器端,Cookie在客户端。
    • Session没有数据大小限制,Cookie有大小限制,应尽量保证Cookie个数小于20个(根据浏览器的不同而不同)。
    • Session数据安全,Cookie相对不安全。