session介绍
在WEB开发中,服务器可以为每个用户浏览器创建一个会话对象(session对象),注意:一个浏览器独占一个session对象(默认情况下)。因此,在需要保存用户数据时,服务器程序可以把用户数据写到用户浏览器独占的session中,当用户使用浏览器访问其它程序时,其它程序可以从用户的session中取出该用户的数据,为用户服务。
session与cookie的区别
Cookie是把用户的数据写给用户的浏览器。
Session技术把用户的数据写到用户独占的session中。
Session对象由服务器创建,开发人员可以调用request对象的getSession方法得到session对象。
session实现原理
服务器创建session出来后,会把session的id号,以cookie的形式回写给客户机,这样,只要客户机的浏览器不关,再去访问服务器时,都会带着session的id号去,服务器发现客户机浏览器带session id过来了,就会使用内存中与之对应的session为之服务。
当客户端浏览器第一次去访问服务器时,服务器会创建一个session,并将sessionid已setcookie的方式发送给浏览器,这样每次请求服务器,浏览器的请求都会携带这个sessionid。
session对象的创建和销毁时机
在程序中第一次调用request.getSession()会创建session,可用isNew()方法判断session是不是新创建的,使用getId()获取新session的id。
session对象默认时30分钟没有使用,服务器自动将其删除,也可以在web.xml文件中手动配置session的失效时间
<session-config>
<session-timeout>number</session-timeout>
<session-config/>
当需要手动让session失效时,可以采用invalidate()方法将其摧毁。
使用session阻止表单重复提交思路
创建一个令牌,先存储在服务器的Session中,当用户访问表单页面的时候,设一个隐藏域保存该token,和表单一起提交上去,处理表单提交的程序与token对比,第一次提交就成功,成功后删除服务器的token,下次就提交不了。
原文:https://www.cnblogs.com/laoyu-love-life/p/14696552.html