Java for the Web With Servlets, JSP, and EJB（Part1-Chapter5）Session Management

本文主要是介绍Java for the Web With Servlets, JSP, and EJB（Part1-Chapter5）Session Management，希望对大家解决编程问题提供一定的参考价值，需要的开发者们随着小编来一起学习吧！

一、为什么需要Session

在最基本状态下，Server是一个无情的HTTP请求报文处理和应答机器，就像一个无情的函数一样。Server是不认识client的，每次收到HTTP报文，都不会在意是哪个client发来的消息。

Server响应完之后就会立刻关闭连接。

第二次就算是同一个Client再和Server打招呼，Server也认不出来是谁，也不记得之前发生了什么。

一个常见的场景是需要用户登录的服务，这时候Server是需要记录这个用户的信息，并且辨别每次client发来的消息到底是属于哪个用户的。
这时候就需要一个可以存储client-用户信息的功能，也就是Server端的Session管理，Client端的Cookie管理。

二、信息管理

核心要义就是：当client第二次请求的时候，server能认出来第一次请求是提供了啥信息给server，第二次请求的时候server可以复用第一次请求的信息。

2.1 Server端不存储信息，直接将信息返回给Client（危险！）

Client1：Hi，Server！ 我是Client1！
Server：知道了，你是Client1，下次来的时候请自报家门，告诉我你的相关信息。我将为你处理。
Client1：Hi，Server！我是Client1！我要买一张票balabala…
Server: 好的！为您办理，Client1购买一张票balabala…

注意！这种情况下Server是不去确认client有没有说谎的，基本上就是，client说啥信啥，无法排除Client伪造自己的身份的可能。

2.1.1 Server端返回HTML页面的

• 页面中的跳转链接<a>标签等（信息直接写在URL中）
• 页面中的form表单（使用hidden隐藏信息）

2.1.2 Server端返回JSON的

• Client请求的时候再带上所需的数据

2.1.2 Server/Client将信息写入Cookie

本质上就是一个高级的自动化的Client带上复用数据进行请求的管理工具。和上面几种方式没有本质的区别。
！！！区别在于，浏览器会自动管理Cookie，每次Client进行请求时都会在HTTP headers中自动带上存在Cookie中的信息。

鉴于每次请求浏览器都会自动带上Cookie中的数据，所以只要Server或Client有一个记得事先把数据放到Cookie中就可以了。

2.2 Server端存储信息，返回Client端一个凭据（没那么危险）

安全了一点，这个过程有点类似于：

小明：Client
银行：Server
银行卡：凭据

1、小明去银行登记了身份信息，并且开了一个银行账户。

2、银行当即给了小明一张银行卡，让小明下次凭着银行卡来办理业务。

3、小明第二次来到银行，捏着一张银行卡证明自己的身份，并且要办理业务。

4、银行通过银行卡调取了小明的基本信息，默认只要是捏着这张银行卡的人就是小明，于是熟练地为小明办理了业务。

机智的朋友们会发现这里有个问题，如果不是小明捏着银行卡来办业务，那么银行也会给“小明”办理业务的。对滴，那这样的话就会有CSRF(Cross Site Request Forgery)，即跨站请求伪造的问题。网络世界可是危机四伏的喔！

2.2.1 凭据使用Cookie或直接写在URL中

由2.1可知，只要server能把信息给client，就能实现凭据的效果。一般才用Cookie的方式传递凭据，毕竟每次请求都要传，手工不仅累死还容易遗漏！

2.2.2 Session

Session其实就是小明登记在银行的个人信息。类比一下，Session中的信息存储在Server，是Client登记的，使用Cookie的方式传递凭据。

这篇关于Java for the Web With Servlets, JSP, and EJB（Part1-Chapter5）Session Management的文章就介绍到这儿，希望我们推荐的文章对编程师们有所帮助！

---