如何理解SessionId? 原始2017年06月14日18:48:06标签: Session /cookie
如果您曾经登录过某个网站,并且一直保持浏览器打开,则可能会遇到这样的情况:即使您删除了该网站的所有相关页面,当您访问该网站时,浏览器也会保持登录状态。 相反,关闭浏览器,下次访问该网站时将处于脱机状态。 例如,我上了酷狗和CSDN的网站,一边听歌一边写东西。 由于某种原因关闭了CSDN的页面。 此时,访问CSDN就知道你还在登录。 但是,如果我关掉了浏览器,要想继续写东西就需要登录。 当然,我不认为有些网站正在开发自动登录等功能。
网页是基于Http协议解析的,Http是无状态协议。 无状态是指在下次访问时不知道上次访问的情况下,每次访问都会断开连接。 那么,服务器如何识别访问过的用户呢? 这里使用的是Session和Cookie。 了解Session和Cookie的人都知道,Session存储在服务器端,而Cookie存储在客户端。 那么,在服务器Session中如何识别用户?
对此,我做了一个新项目。 设置拦截器,识别用户是否已经登录,登录后即可进入测试页。 如果你没有登录,你会跳到登录页面。
每次程序初始化时,在客户端查看Cookie的值,就会发现存在会话id。 也就是说,程序初始化后,服务器通过Response将SessionId返回给客户端,客户端用Cookie保存该id。 下次访问此网站时,您将使用此SessionId进行访问。 在后台可以通过SessionId知道用户的状态,但浏览器关闭后,更改Cookie时默认也会被清除。 到目前为止,问题似乎已经解决,但多次重新启动服务器后,每次初始化时,Response返回的SessionId都是相同的,并不是不存在唯一性,这表示不存在唯一性无法用作标识。
因此,向下看,在tomcat中,Session以HashMap的形式存储在名为org.Apache.cataline.session.manager base的类中,以key-value的形式存储可以看到,程序初始化并返回给客户端的SessionId实际上是可以找到接口org.apache.cataline.session的密钥。 使用此键时,在org.Apache.cataline.session.standant的同时,该类实现HttpSession,HttpSession的tomcat中的数据为session.set at
到此为止,模拟的情况也基本可以说明。 关闭浏览器后,清除的是SessionId而不是Session。 此时,Session还存在于服务器上。 在新的访问期间传递到后台的不是以前的SessionId,如果找不到以前的对应值,就无法识别用户。 浏览器不会关闭,保存会话id值的cookie不会被删除,也不会手动修改。 新的访问将保留在后台的原始SessionId。 服务器在SessionId中找到了Session的值,因此将保持原始状态。