但有些网站,不能这样做。
我很困惑,认为它是会话或cookie?
如果我想要我的网站登录,我必须设置session.setMaxInactiveInterval()或cookie.setMaxAge()?
解决方法
[PART 1]:SESSION OBJECT
HTTP请求被单独处理,所以为了保持每个请求之间的信息(例如,关于用户的信息),必须在服务器端创建会话对象。
一些网站根本不需要一个会话。用户不能修改任何内容的网站将不必管理会话(例如,在线简历)。您不会在这样的网站上需要任何Cookie或会话。
创建会话:
在servlet中,使用HttpServletRequest对象中的request.getSession(true)方法创建一个新的HttpSession对象。请注意,如果您使用request.getSession(false),如果会话尚未创建,则返回null。 Look at this answer for more details。
会话的目的是在每个请求之间保留服务器端的信息。例如,保留用户名:
session.setAttribute("name","MAGLEFF");
// Cast
String name = (String) session.getAttribute("name");
破坏会话:
如果保持不活动的时间太长,会话将自动销毁。 Look at this answer for more details.但您可以手动强制会话被破坏,例如在注销动作的情况下:
HttpSession session = request.getSession(true); session.invalidate();
[第二部分]:那么加入黑暗的一面,我们有COOKIES?
这里是饼干。
JSESSIONID:
每次使用request.getSession()创建会话时,都会在用户计算机上创建一个JSESSIONID cookie。为什么?因为在服务器端创建的每个会话都有一个ID。您无法访问其他用户的会话,除非您没有正确的ID。此ID保存在JSESSIONID cookie中,并允许用户查找他的信息。 Look at this answer for more details !
什么时候删除JSESSIONID?
JSESSIONID没有到期日期:它是一个会话cookie。作为所有会话cookie,当浏览器关闭时,它将被删除。如果您使用基本的JSESSIONID机制,则在关闭并重新打开浏览器后,会话将无法访问,因为JSESSIONID cookie已被删除。
请注意,会话无法由客户端访问,但仍在服务器端运行。设置MaxInactiveInterval允许服务器在不活动时间长时间内自动使会话无效。
JSESSIONID的恶意破坏
只是为了好玩,有一天我发现这个代码在一个项目上。用于通过使用javascript删除JSESSIONID cookie来使会话无效:
<SCRIPT language="JavaScript" type="text/javascript">
function delete_cookie( check_name ) {
// first we'll split this cookie up into name/value pairs
// note: document.cookie only returns name=value,not the other components
var a_all_cookies = document.cookie.split( ';' );
var a_temp_cookie = '';
var cookie_name = '';
var cookie_value = '';
var b_cookie_found = false; // set boolean t/f default f
// var check_name = 'JSESSIONID';
var path = null;
for ( i = 0; i < a_all_cookies.length; i++ )
{
// now we'll split apart each name=value pair
a_temp_cookie = a_all_cookies[i].split( '=' );
// and trim left/right whitespace while we're at it
cookie_name = a_temp_cookie[0].replace(/^\s+|\s+$/g,'');
// alert (cookie_name);
// if the extracted name matches passed check_name
if ( cookie_name.indexOf(check_name) > -1 )
{
b_cookie_found = true;
// we need to handle case where cookie has no value but exists (no = sign,that is):
if ( a_temp_cookie.length > 1 )
{
cookie_value = unescape( a_temp_cookie[1].replace(/^\s+|\s+$/g,'') );
document.cookie = cookie_name + "=" + cookie_value +
";path=/" +
";expires=Thu,01-Jan-1970 00:00:01 GMT";
// alert("cookie deleted " + cookie_name);
}
}
a_temp_cookie = null;
cookie_name = '';
}
return true;
}
// DESTROY
delete_cookie("JSESSIONID");
</SCRIPT>
使用JavaScript,JSESSIONID可以被读取,修改,丢失或被劫持。
[第3部分]:在关闭您的浏览器后,请保留会议
After closed and re-opened the browser and their accounts are still
signed in.
But some websites,cannot do like that.
I’m confused that it’s considered session or cookie??
这是cookie。
我们看到当JSESSIONID会话cookie已被Web浏览器删除时,服务器端的会话对象将丢失。没有正确的ID没有办法再次访问它。
If I want my website to be signed in like that,do I have to set
session.setMaxInactiveInterval() or cookie.setMaxAge()?
我们还看到session.setMaxInactiveInterval()是为了防止无限期地运行丢失的会话。 JSESSIONID cookie cookie.setMaxAge()也不会让我们在任何地方。
使用持久性cookie与会话ID:
> How to implement “Stay Logged In” when user login in to the web application由BalusC
> http://simple.souther.us/not-so-simple.html by Ben Souther; ben@souther.us
主要思想是在Map中注册用户的会话,放入servlet上下文中。每次创建会话时,都将其添加到Map的JSESSIONID值为key;还创建一个持久性cookie来记住JSESSIONID值,以便在JSESSIONID cookie被破坏后找到会话。
关闭Web浏览器时,JSESSIONID将被销毁。但是所有HttpSession对象的地址都保存在服务器端的Map中,您可以使用保存在持久性cookie中的值访问正确的会话。
首先,在web.xml部署描述符中添加两个监听器。
<listener>
<listener-class>
fr.hbonjour.strutsapp.listeners.CustomServletContextListener
</listener-class>
</listener>
<listener>
<listener-class>
fr.hbonjour.strutsapp.listeners.CustomHttpSessionListener
</listener-class>
</listener>
CustomServletContextListener在上下文初始化时创建一个映射。该地图将注册用户在此应用程序中创建的所有会话。
/**
* Instanciates a HashMap for holding references to session objects,and
* binds it to context scope.
* Also instanciates the mock database (UserDB) and binds it to
* context scope.
* @author Ben Souther; ben@souther.us
* @since Sun May 8 18:57:10 EDT 2005
*/
public class CustomServletContextListener implements ServletContextListener{
public void contextInitialized(ServletContextEvent event){
ServletContext context = event.getServletContext();
//
// instanciate a map to store references to all the active
// sessions and bind it to context scope.
//
HashMap activeUsers = new HashMap();
context.setAttribute("activeUsers",activeUsers);
}
/**
* Needed for the ServletContextListener interface.
*/
public void contextDestroyed(ServletContextEvent event){
// To overcome the problem with losing the session references
// during server restarts,put code here to serialize the
// activeUsers HashMap. Then put code in the contextInitialized
// method that reads and reloads it if it exists...
}
}
CustomHttpSessionListener在会话创建时将会将其置于activeUsers映射中。
/**
* Listens for session events and adds or removes references to
* to the context scoped HashMap accordingly.
* @author Ben Souther; ben@souther.us
* @since Sun May 8 18:57:10 EDT 2005
*/
public class CustomHttpSessionListener implements HttpSessionListener{
public void init(ServletConfig config){
}
/**
* Adds sessions to the context scoped HashMap when they begin.
*/
public void sessionCreated(HttpSessionEvent event){
HttpSession session = event.getSession();
ServletContext context = session.getServletContext();
HashMap<String,HttpSession> activeUsers = (HashMap<String,HttpSession>) context.getAttribute("activeUsers");
activeUsers.put(session.getId(),session);
context.setAttribute("activeUsers",activeUsers);
}
/**
* Removes sessions from the context scoped HashMap when they expire
* or are invalidated.
*/
public void sessionDestroyed(HttpSessionEvent event){
HttpSession session = event.getSession();
ServletContext context = session.getServletContext();
HashMap<String,HttpSession> activeUsers = (HashMap<String,HttpSession>)context.getAttribute("activeUsers");
activeUsers.remove(session.getId());
}
}
使用基本形式通过名称/密码测试用户身份验证。这个login.jsp表单仅用于测试。
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html>
<head>
<Meta http-equiv="Content-Type" content="text/html; charset=ISO-8859-1">
<title><bean:message key="formulaire1Title" /></title>
</head>
<body>
<form action="login.go" method="get">
<input type="text" name="username" />
<input type="password" name="password" />
<input type="submit" />
</form>
</body>
</html>
我们走了当用户不在会话中时,这个java servlet正在转发到登录页面,而在他的时候转到另一个页面。它只是用于测试持续会话!
public class Servlet2 extends AbstractServlet {
@Override
protected void doGet(HttpServletRequest pRequest,HttpServletResponse pResponse) throws IOException,ServletException {
String username = (String) pRequest.getParameter("username");
String password = (String) pRequest.getParameter("password");
// Session Object
HttpSession l_session = null;
String l_sessionCookieId = getCookieValue(pRequest,"JSESSIONID");
String l_persistentCookieId = getCookieValue(pRequest,"MY_SESSION_COOKIE");
// If a session cookie has been created
if (l_sessionCookieId != null)
{
// If there isn't already a persistent session cookie
if (l_persistentCookieId == null)
{
addCookie(pResponse,"MY_SESSION_COOKIE",l_sessionCookieId,1800);
}
}
// If a persistent session cookie has been created
if (l_persistentCookieId != null)
{
HashMap<String,HttpSession> l_activeUsers = (HashMap<String,HttpSession>) pRequest.getServletContext().getAttribute("activeUsers");
// Get the existing session
l_session = l_activeUsers.get(l_persistentCookieId);
}
// Otherwise a session has not been created
if (l_session == null)
{
// Create a new session
l_session = pRequest.getSession();
}
//If the user info is in session,move forward to another page
String forward = "/pages/displayUserInfo.jsp";
//Get the user
User user = (User) l_session.getAttribute("user");
//If there's no user
if (user == null)
{
// Put the user in session
if (username != null && password != null)
{
l_session.setAttribute("user",new User(username,password));
}
// Ask again for proper login
else
{
forward = "/pages/login.jsp";
}
}
//Forward
this.getServletContext().getRequestDispatcher(forward).forward( pRequest,pResponse );
}
MY_SESSION_COOKIE cookie将保存JSESSIONID cookie的值。当JSESSIONID cookie被破坏时,MY_SESSION_COOKIE仍然存在会话ID。
JSESSIONID与Web浏览器会话不一致,但是我们选择使用持久和简单的cookie,以及放入应用程序上下文中的所有活动会话的映射。持久性cookie允许我们在地图中找到正确的会话。
不要忘记BalusC提供的这些有用的方法来添加/获取/删除cookie:
/**
*
* @author BalusC
*/
public static String getCookieValue(HttpServletRequest request,String name) {
Cookie[] cookies = request.getCookies();
if (cookies != null) {
for (Cookie cookie : cookies) {
if (name.equals(cookie.getName())) {
return cookie.getValue();
}
}
}
return null;
}
/**
*
* @author BalusC
*/
public static void addCookie(HttpServletResponse response,String name,String value,int maxAge) {
Cookie cookie = new Cookie(name,value);
cookie.setPath("/");
cookie.setMaxAge(maxAge);
response.addCookie(cookie);
}
/**
*
* @author BalusC
*/
public static void removeCookie(HttpServletResponse response,String name) {
addCookie(response,name,null,0);
}
}
最后一个解决方案是在本地主机上使用glassfish进行测试,在windows上使用chrome浏览器。它只取决于单个cookie,而不需要数据库。但实际上,我不知道这种机制的局限性是甚么。我只是晚上来到这个解决方案,而不知道这将是一个好还是坏的。
谢谢
我还在学习,请告诉我我的答案是否有错误。谢谢, @
