但有些网站,不能这样做。
我很困惑,认为它是会话或cookie?
如果我想要我的网站登录,我必须设置session.setMaxInactiveInterval()或cookie.setMaxAge()?
@R_502_323@
[PART 1]:SESSION OBJECT
HTTP请求被单独处理,所以为了保持每个请求之间的信息(例如,关于用户的信息),必须在服务器端创建会话对象。
一些网站根本不需要一个会话。用户不能修改任何内容的网站将不必管理会话(例如,在线简历)。您不会在这样的网站上需要任何Cookie或会话。
创建会话:
在servlet中,使用HttpServletRequest对象中的request.getSession(true)方法创建一个新的HttpSession对象。请注意,如果您使用request.getSession(false),如果会话尚未创建,则返回null。 Look at this answer for more details。
会话的目的是在每个请求之间保留服务器端的信息。例如,保留用户名:
- session.setAttribute("name","MAGLEFF");
- // Cast
- String name = (String) session.getAttribute("name");
破坏会话:
如果保持不活动的时间太长,会话将自动销毁。 Look at this answer for more details.但您可以手动强制会话被破坏,例如在注销动作的情况下:
- HttpSession session = request.getSession(true);
- session.invalidate();
[第二部分]:那么加入黑暗的一面,我们有COOKIES?
这里是饼干。
JSESSIONID:
每次使用request.getSession()创建会话时,都会在用户计算机上创建一个JSESSIONID cookie。为什么?因为在服务器端创建的每个会话都有一个ID。您无法访问其他用户的会话,除非您没有正确的ID。此ID保存在JSESSIONID cookie中,并允许用户查找他的信息。 Look at this answer for more details !
什么时候删除JSESSIONID?
JSESSIONID没有到期日期:它是一个会话cookie。作为所有会话cookie,当浏览器关闭时,它将被删除。如果您使用基本的JSESSIONID机制,则在关闭并重新打开浏览器后,会话将无法访问,因为JSESSIONID cookie已被删除。
请注意,会话无法由客户端访问,但仍在服务器端运行。设置MaxInactiveInterval允许服务器在不活动时间长时间内自动使会话无效。
JSESSIONID的恶意破坏
只是为了好玩,有一天我发现这个代码在一个项目上。用于通过使用javascript删除JSESSIONID cookie来使会话无效:
- <SCRIPT language="JavaScript" type="text/javascript">
- function delete_cookie( check_name ) {
- // first we'll split this cookie up into name/value pairs
- // note: document.cookie only returns name=value,not the other components
- var a_all_cookies = document.cookie.split( ';' );
- var a_temp_cookie = '';
- var cookie_name = '';
- var cookie_value = '';
- var b_cookie_found = false; // set boolean t/f default f
- // var check_name = 'JSESSIONID';
- var path = null;
- for ( i = 0; i < a_all_cookies.length; i++ )
- {
- // now we'll split apart each name=value pair
- a_temp_cookie = a_all_cookies[i].split( '=' );
- // and trim left/right whitespace while we're at it
- cookie_name = a_temp_cookie[0].replace(/^\s+|\s+$/g,'');
- // alert (cookie_name);
- // if the extracted name matches passed check_name
- if ( cookie_name.indexOf(check_name) > -1 )
- {
- b_cookie_found = true;
- // we need to handle case where cookie has no value but exists (no = sign,that is):
- if ( a_temp_cookie.length > 1 )
- {
- cookie_value = unescape( a_temp_cookie[1].replace(/^\s+|\s+$/g,'') );
- document.cookie = cookie_name + "=" + cookie_value +
- ";path=/" +
- ";expires=Thu,01-Jan-1970 00:00:01 GMT";
- // alert("cookie deleted " + cookie_name);
- }
- }
- a_temp_cookie = null;
- cookie_name = '';
- }
- return true;
- }
- // DESTROY
- delete_cookie("JSESSIONID");
- </SCRIPT>
使用JavaScript,JSESSIONID可以被读取,修改,丢失或被劫持。
[第3部分]:在关闭您的浏览器后,请保留会议
After closed and re-opened the browser and their accounts are still
signed in.
But some websites,cannot do like that.
I’m confused that it’s considered session or cookie??
这是cookie。
我们看到当JSESSIONID会话cookie已被Web浏览器删除时,服务器端的会话对象将丢失。没有正确的ID没有办法再次访问它。
If I want my website to be signed in like that,do I have to set
session.setMaxInactiveInterval() or cookie.setMaxAge()?
我们还看到session.setMaxInactiveInterval()是为了防止无限期地运行丢失的会话。 JSESSIONID cookie cookie.setMaxAge()也不会让我们在任何地方。
使用持久性cookie与会话ID:
> How to implement “Stay Logged In” when user login in to the web application由BalusC
> http://simple.souther.us/not-so-simple.html by Ben Souther; ben@souther.us
主要思想是在Map中注册用户的会话,放入servlet上下文中。每次创建会话时,都将其添加到Map的JSESSIONID值为key;还创建一个持久性cookie来记住JSESSIONID值,以便在JSESSIONID cookie被破坏后找到会话。
关闭Web浏览器时,JSESSIONID将被销毁。但是所有HttpSession对象的地址都保存在服务器端的Map中,您可以使用保存在持久性cookie中的值访问正确的会话。
首先,在web.xml部署描述符中添加两个监听器。
- <listener>
- <listener-class>
- fr.hbonjour.strutsapp.listeners.CustomServletContextListener
- </listener-class>
- </listener>
- <listener>
- <listener-class>
- fr.hbonjour.strutsapp.listeners.CustomHttpSessionListener
- </listener-class>
- </listener>
CustomServletContextListener在上下文初始化时创建一个映射。该地图将注册用户在此应用程序中创建的所有会话。
- /**
- * Instanciates a HashMap for holding references to session objects,and
- * binds it to context scope.
- * Also instanciates the mock database (UserDB) and binds it to
- * context scope.
- * @author Ben Souther; ben@souther.us
- * @since Sun May 8 18:57:10 EDT 2005
- */
- public class CustomServletContextListener implements ServletContextListener{
- public void contextInitialized(ServletContextEvent event){
- ServletContext context = event.getServletContext();
- //
- // instanciate a map to store references to all the active
- // sessions and bind it to context scope.
- //
- HashMap activeUsers = new HashMap();
- context.setAttribute("activeUsers",activeUsers);
- }
- /**
- * Needed for the ServletContextListener interface.
- */
- public void contextDestroyed(ServletContextEvent event){
- // To overcome the problem with losing the session references
- // during server restarts,put code here to serialize the
- // activeUsers HashMap. Then put code in the contextInitialized
- // method that reads and reloads it if it exists...
- }
- }
CustomHttpSessionListener在会话创建时将会将其置于activeUsers映射中。
- /**
- * Listens for session events and adds or removes references to
- * to the context scoped HashMap accordingly.
- * @author Ben Souther; ben@souther.us
- * @since Sun May 8 18:57:10 EDT 2005
- */
- public class CustomHttpSessionListener implements HttpSessionListener{
- public void init(ServletConfig config){
- }
- /**
- * Adds sessions to the context scoped HashMap when they begin.
- */
- public void sessionCreated(HttpSessionEvent event){
- HttpSession session = event.getSession();
- ServletContext context = session.getServletContext();
- HashMap<String,HttpSession> activeUsers = (HashMap<String,HttpSession>) context.getAttribute("activeUsers");
- activeUsers.put(session.getId(),session);
- context.setAttribute("activeUsers",activeUsers);
- }
- /**
- * Removes sessions from the context scoped HashMap when they expire
- * or are invalidated.
- */
- public void sessionDestroyed(HttpSessionEvent event){
- HttpSession session = event.getSession();
- ServletContext context = session.getServletContext();
- HashMap<String,HttpSession> activeUsers = (HashMap<String,HttpSession>)context.getAttribute("activeUsers");
- activeUsers.remove(session.getId());
- }
- }
使用基本形式通过名称/密码测试用户身份验证。这个login.jsp表单仅用于测试。
- <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
- <html>
- <head>
- <Meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
- <title><bean:message key="formulaire1Title" /></title>
- </head>
- <body>
- <form action="login.go" method="get">
- <input type="text" name="username" />
- <input type="password" name="password" />
- <input type="submit" />
- </form>
- </body>
- </html>
我们走了当用户不在会话中时,这个java servlet正在转发到登录页面,而在他的时候转到另一个页面。它只是用于测试持续会话!
- public class Servlet2 extends AbstractServlet {
- @Override
- protected void doGet(HttpServletRequest pRequest,HttpServletResponse pResponse) throws IOException,ServletException {
- String username = (String) pRequest.getParameter("username");
- String password = (String) pRequest.getParameter("password");
- // Session Object
- HttpSession l_session = null;
- String l_sessionCookieId = getCookieValue(pRequest,"JSESSIONID");
- String l_persistentCookieId = getCookieValue(pRequest,"MY_SESSION_COOKIE");
- // If a session cookie has been created
- if (l_sessionCookieId != null)
- {
- // If there isn't already a persistent session cookie
- if (l_persistentCookieId == null)
- {
- addCookie(pResponse,"MY_SESSION_COOKIE",l_sessionCookieId,1800);
- }
- }
- // If a persistent session cookie has been created
- if (l_persistentCookieId != null)
- {
- HashMap<String,HttpSession> l_activeUsers = (HashMap<String,HttpSession>) pRequest.getServletContext().getAttribute("activeUsers");
- // Get the existing session
- l_session = l_activeUsers.get(l_persistentCookieId);
- }
- // Otherwise a session has not been created
- if (l_session == null)
- {
- // Create a new session
- l_session = pRequest.getSession();
- }
- //If the user info is in session,move forward to another page
- String forward = "/pages/displayUserInfo.jsp";
- //Get the user
- User user = (User) l_session.getAttribute("user");
- //If there's no user
- if (user == null)
- {
- // Put the user in session
- if (username != null && password != null)
- {
- l_session.setAttribute("user",new User(username,password));
- }
- // Ask again for proper login
- else
- {
- forward = "/pages/login.jsp";
- }
- }
- //Forward
- this.getServletContext().getRequestDispatcher(forward).forward( pRequest,pResponse );
- }
MY_SESSION_COOKIE cookie将保存JSESSIONID cookie的值。当JSESSIONID cookie被破坏时,MY_SESSION_COOKIE仍然存在会话ID。
JSESSIONID与Web浏览器会话不一致,但是我们选择使用持久和简单的cookie,以及放入应用程序上下文中的所有活动会话的映射。持久性cookie允许我们在地图中找到正确的会话。
不要忘记BalusC提供的这些有用的方法来添加/获取/删除cookie:
- /**
- *
- * @author BalusC
- */
- public static String getCookieValue(HttpServletRequest request,String name) {
- Cookie[] cookies = request.getCookies();
- if (cookies != null) {
- for (Cookie cookie : cookies) {
- if (name.equals(cookie.getName())) {
- return cookie.getValue();
- }
- }
- }
- return null;
- }
- /**
- *
- * @author BalusC
- */
- public static void addCookie(HttpServletResponse response,String name,String value,int maxAge) {
- Cookie cookie = new Cookie(name,value);
- cookie.setPath("/");
- cookie.setMaxAge(maxAge);
- response.addCookie(cookie);
- }
- /**
- *
- * @author BalusC
- */
- public static void removeCookie(HttpServletResponse response,String name) {
- addCookie(response,name,null,0);
- }
- }
最后一个解决方案是在本地主机上使用glassfish进行测试,在windows上使用chrome浏览器。它只取决于单个cookie,而不需要数据库。但实际上,我不知道这种机制的局限性是甚么。我只是晚上来到这个解决方案,而不知道这将是一个好还是坏的。
谢谢
我还在学习,请告诉我我的答案是否有错误。谢谢, @
