开发工具与关键技术：VS    Session
作者:听民谣的老猫
撰写时间：2019/6/20   18:15
 
 

 
页面上很多的操作都需要用户登录才能进行或者只有用户登录才能进入主页面，那怎么判断用户的登录状态？？？
 
 
我这判断用户登录状态是页面启动时就去Session中拿数据，如果拿的到数据的话try{}catch{}就捕获不到异常，如果try{}catch{}捕获到了异常就证明用户未登录;
 
登录状态下Session中是怎么有数据的呢？
 
 
 
在确认用户身份正确后就将数据传递到Session中，Session中的数据就是这样来的。
 
同时我们也可以通过传递到Session中的一些数据在页面加载时将用户的信息传递到页面上去。比如说我一开始截图上面的名字的改变就是通过Session中的数据查询后传递到页面上的。
 
 
 
 
只需要在一开始用一开始判断用户登录状态的数据，通过单表查询出用户的姓名；然后在页面上对应接收就可以了。
 
页面接收方法
 
 
操作结果
 
 
这样就可以在用户登录后在这显示用户的姓名啦。

首先我们先来了解一下什么是session。其实session就是一块在服务器端开辟的内存空间，就好比客户在服务器端的账户，它们被服务器保存到一个Map中，这个Map被称之为session缓存。session的作用是来跟踪用户的操作状态， 我们举个例子，比如：服务器端要知道一个当前网站有多少用户在线。我们知道一个用户就一个客户端，那么也就是说服务器端要知道有多少客户端正在访问本网 站，这样服务器端必然要跟踪每一个客户端的状态。
 
那么服务器是通过什么跟踪的呢？又是怎么跟踪的呢？哈哈，其实这个问题很简单，比如张三下班后打开电脑，今天第一次访问某宝网站，张三的电脑向某宝网站发出了请求，某宝网站我现 在要访问你，这时呢某宝网站说请出示你的证件，张三的电脑傻了问“证件？？？”这时某宝网站说是今天第一次来访吧，张三的电 脑说是啊，某宝的网站说那就对了看在你诚实的份上给你一个证件吧(这里的证件就是我们说的 sessionID，sessionID:是32位的字母和数字的组合是全地球唯一的，因为sessionID是唯一的所以它的作用是用来区分每个客户端 的，此ID是在session被创建时产生的，而session我们看到了是在第一次访问网站时就会被建立。sessionID会随着应答一起发到客户端 并存放到客户端的内存中，这块客户端的内存就是我们经常说的cookie，下次用户发出请求时，浏览器通过一定规则将本地cookie里的sessionid发送，一一匹配，这样服务器看到 sessionID后到内存寻找，找到了就使用此内存中的数据，否则视为第一次访问本网站)，不过这个证件的有效期只有15分钟，这里的有 效期15分钟，就是我们说的session过期时间。
 
什么是session过期时间呢？是这样的，我们想一下我们第一次访问一个网站，这时网站会给我们分 配一个sessionID，而我们只是打开了这个首页后，出去玩了再也没有访问过本网站的其它页面内容，我们是不是还在占用着网络资源呀，占用着 sessionID。那么这时怎么办呢？其实网站服务器很聪明的它会在你从第一次访问后就开始计算时间比如张三打开了某宝网站首页这时某宝网站的服务器就开始计时了 ，1秒,2秒,3秒,4秒,5秒,6秒...在2分钟的时候张三在首页上点击了一条热销商品，这时某宝网站的服务器知道后将刚才记的2分钟清空为0 这时又开始了1秒,2秒,3秒,4秒,5秒,6秒...的计时，直至计时时间达到了15分钟也就是session过期时间，这时某宝网站服务 器会认为这个用户15分钟都没有访问过我了可能己经关机出去玩了，某宝网站服务器会将这个用户在服务器开辟的内存空间释放掉，那么对应内存的 sessionID也就被收回了，等待新来的用户使用，这样我们说一个session就被销毁了。
 
到这大家应该有点感觉了吧，session的范围有多大呀，是一个客户端，一个客户端对应着一个session ; 而一个session能存活多长时间有两个方面一方面是看客户端是否在session过期时间内访问网站，这样可以让session存活时间延长，另一方 面是设置的session过期时间是多长。session过期时间我们可以手工设置，如果没有设置就采取服务器默认设置的(例如这里用Tomcat可以在Tomcat/config/web.xml中找到一段如下的代码默认为30分钟： 
 
 <session-config>  
         <session-timeout>30<session-timeout>  
 <session-config>  
 
 我们还可以在我们的项目中的WEB-INF/web.xml中写入上面的这段代码,设置session过期时间)。
 
好了知道了这些大家想一个问题：如果我们访问了一个网站，这个网站为我们分配了一个session ，我们现在将IE浏览关闭掉，session会销毁吗？哈哈，想都不用再想了肯定不会。因为session是存放在服务器端的session的销毁只和过期时间有关系，再者客户端关闭怎么会影响到服务器端呢！ 
 
 
牢记，sessionId是针对客户端的，一个客户端是一个sessionId，这也就是常用的登录注销处理的原因，对于同一个客户端对同一个服务器的访问，会在session中设置一个key value，这样，就算是不同帐号登录，那也只是不同key，而不会是不同session。
 
如果注销使用session.invalidate的话，也就会出现无法继续登录了。

session验证用户是否登录，对未登录用户进行拦截
 


 
文章目录
 
session验证用户是否登录，对未登录用户进行拦截
正常情况下，服务器上的资源很多都是需要登入之后才能访问的，这就需要我们在后台配置一个登入检查的拦截器，对于没有登入的用户跳转到指定的提示页面。
    
   
   
1、编写好一个拦截器类 loginIntercepter.java。**注意：从session中获取的对象要和登入时存储到session中的对象一致。**
2、编写一个自定义异常AccessForbiddenException.java
3、编写一个异常处理类，用来处理抛出的异常。
4、在springMVC的配置文件中加入拦截器，用来配置登入检查
5、到这里，session检查用户是否登入就完成了😀
 

 
 
 
正常情况下，服务器上的资源很多都是需要登入之后才能访问的，这就需要我们在后台配置一个登入检查的拦截器，对于没有登入的用户跳转到指定的提示页面。
 
 
1、编写好一个拦截器类 loginIntercepter.java。注意：从session中获取的对象要和登入时存储到session中的对象一致。
 

//使用已经实现过的类来实现HandlerInterceptor接口，这样可以实现其中部分的方法。
public class LoginInterceptor extends HandlerInterceptorAdapter {

	public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler)
			throws Exception {


	// 1.通过 request 对象获取 Session 对象
	HttpSession session = request.getSession();
	// 2.尝试从 Session 域中获取 Admin 对象
	Admin admin = (Admin)
	session.getAttribute(CrowdConstant.ATT_NAME_LOGIN_ADMIN);
	// 3.判断 admin 对象是否为空
	if(admin==null)

	{
		// 4.抛出异常
		throw new AccessForbiddenException(CrowdConstant.MESSAGE_ACCESS_FORBIDEN);
	}
	// 5.如果 Admin 对象不为 null，则返回 true 放行
	return true;
}


}


 
2、编写一个自定义异常AccessForbiddenException.java
 
PS：直接生成RuntimeException的父类的构造方法。
 
/**
 * 用户未登入时抛出的异常。
 * @author tyeerth
 * @time 2020年3月19日下午10:21:37
 */
public class AccessForbiddenException extends RuntimeException {

	/**
	 * 
	 */
	private static final long serialVersionUID = 1L;

	public AccessForbiddenException() {
		super();
	}

	public AccessForbiddenException(String message, Throwable cause, boolean enableSuppression,
			boolean writableStackTrace) {
		super(message, cause, enableSuppression, writableStackTrace);
	}

	public AccessForbiddenException(String message, Throwable cause) {
		super(message, cause);
	}

	public AccessForbiddenException(String message) {
		super(message);
	}

	public AccessForbiddenException(Throwable cause) {
		super(cause);
	}

}
 
3、编写一个异常处理类，用来处理抛出的异常。
 
/ 表明当前类是一个异常处理类。
@ControllerAdvice
public class CrowdExceptionResolver {

	// 表示捕获到 Exception 类型的异常对象由当前方法处理
	@ExceptionHandler(value = Exception.class)
	public ModelAndView resolveException(Exception exception, HttpServletRequest request, HttpServletResponse response)
			throws IOException {
		// 只是指定当前异常对应的页面即可
		String viewName = "system-error";
		return commonResolveException(exception, request, response, viewName);
	}

	/**
	 * private表示当前类自己使用。 核心异常处理方法
	 * 
	 * @param exception
	 *            SpringMVC 捕获到的异常对象
	 * @param request
	 *            为了判断当前请求是“普通请求”还是“Ajax 请求” 需要传入原生 request 对象
	 * @param response
	 *            为了能够将 JSON 字符串作为当前请求的响应数 据返回给浏览器
	 * @param viewName
	 *            指定要前往的视图名称
	 * @return ModelAndView
	 * @throws IOException
	 */
	private ModelAndView commonResolveException(Exception exception, HttpServletRequest request,
			HttpServletResponse response, String viewName) throws IOException {
		// 1.判断当前请求是“普通请求”还是“Ajax 请求”
		boolean judgeResult = CrowdUtil.judgeRequestType(request);
		// 2.如果是 Ajax 请求
		if (judgeResult) {
			// 3.从当前异常对象中获取异常信息
			String message = exception.getMessage();
			// 4.创建 ResultEntity
			ResultEntity<Object> resultEntity = ResultEntity.failed(message);
			// 5.创建 Gson 对象
			Gson gson = new Gson();
			// 6.将 resultEntity 转化为 JSON 字符串
			String json = gson.toJson(resultEntity);
			// 7.把当前 JSON 字符串作为当前请求的响应体数据返回给
			// 浏览器
			// ①获取 Writer 对象
			PrintWriter writer = response.getWriter();
			// ②写入数据
			writer.write(json);
			// 如果不是Ajax请求，就进行下面的操作。
			// 8.返回 null，不给 SpringMVC 提供 ModelAndView 对象
			// 这样 SpringMVC 就知道不需要框架解析视图来提供响应，
			// 而是程序员自己提供了响应
			return null;
		}
		// 9.创建 ModelAndView 对象
		ModelAndView modelAndView = new ModelAndView();
		// 10.将 Exception 对象存入模型
		modelAndView.addObject(CrowdConstant.ATTR_NAME_EXCEPTION, exception);
		// 11.设置目标视图名称
		modelAndView.setViewName(viewName);
		// 12.返回 ModelAndView 对象
		return modelAndView;
	}
}

 
4、在springMVC的配置文件中加入拦截器，用来配置登入检查
 
	<!-- 配置拦截器 -->
	<mvc:interceptors>
		<mvc:interceptor>
			<!-- mvc:mapping 配置要拦截的资源 -->
			<!-- /*对应一层路径，比如：/aaa -->
			<!-- /**对应多层路径，比如：/aaa/bbb 或/aaa/bbb/ccc 或/aaa/bbb/ccc/ddd -->
			<mvc:mapping path="/**" />
			<!-- mvc:exclude-mapping 配置不拦截的资源 -->
			<mvc:exclude-mapping path="/admin/to/login/page.html" />
			<mvc:exclude-mapping path="/admin/do/login.html" />
			<mvc:exclude-mapping path="/admin/do/logout.html" />
			<!-- 配置拦截器类 -->
			<bean class="com.crowd.mvc.interceptor.LoginInterceptor"></bean>
		</mvc:interceptor>
	</mvc:interceptors>
 
5、到这里，session检查用户是否登入就完成了😀

Session是什么 
 session是另一种记录客户状态的机制，不同的是Cookie保存在客户端浏览器中，而session保存在服务器上。 
 客户端浏览器访问服务器的时候，服务器把客户端信息以某种形式记录在服务器上，这就是session。客户端浏览器再次访问时只需要从该Session中查找该客户的状态就可以了。 
 如果说Cookie机制是通过检查客户身上的“通行证”来确定客户身份的话，那么session机制就是通过检查服务器上的“客户明细表”来确认客户身份。 
 session相当于程序在服务器上建立的一份客户档案，客户来访的时候只需要查询客户档案表就可以了。
 
为什么不使用cookie
 
    cookie会保存在客户端，也就是说，如果将登录的一些重要信息，比如密码之内的保存在用户自己那里，这显然是很不安全，很不靠谱的。
    所以，我们使用session，将用户的登录信息保存在服务端或者数据库中，就相对安全靠谱多了。
 
下面为大家详细演示一下如何使用session
 
1.首先需要在项目的app.js中配置session信息，并且想要使用session需要安装两个node的插件： 
 
 
安装完插件以后，配置基本信息：
 
 
name:在response中sessionID这个cookie的名称。也可以通过这个name读取，默认是connect.sid。如果一台机器上有多个app运行在同样的hostname+port, 那么你需要对这个sessin的cookie进行切割，所以最好的方法还是通过name设置不同的值。
 
cookie:也就是session ID的cookie，默认是{ path: ‘/’, httpOnly: true, secure: false, maxAge: null }.
 
resave:强制session保存到session store中。即使在请求中这个session没有被修改。但是这个并不一定是必须的，如果客户端有两个并行的请求到你的客户端，一个请求对session的修改可能被另外一个请求覆盖掉，即使第二个请求并没有修改sesion。默认是true,但是默认值已经过时，因此以后default可能会被修改。因此好好研究你的需求选择一个最适用的。大多数情况下你可能需要false 最好的知道你的store是否需要设置resave的方法是通过查看你的store是否实现了touch方法(删除那些空闲的session。同时这个方法也会通知session store指定的session是活动态的)，如果实现了那么你可以用resave:false,如果没有实现touch方法，同时你的store对保存的session设置了一个过期的时间，那么建议你用resave:true。
 
saveUninitialized:强制没有“初始化”的session保存到storage中，没有初始化的session指的是：刚被创建没有被修改,如果是要实现登陆的session那么最好设置为false(reducing server storage usage, or complying with laws that require permission before setting a cookie) 而且设置为false还有一个好处，当客户端没有session的情况下并行发送多个请求时。默认是true,但是不建议使用默认值。
 
其他参数详情请参考：
 
 
 
http://blog.csdn.net/liangklfang/article/details/50998959
 
 
2.配置完session后，我们就可以在登录接口里将登录信息保存进session，这里需要根据自己的数据结构自己定义session。
 
 
3.最后我们取出session中的数据，渲染到我们的页面就完成了一个完整的登录过程啦！
 
 
下面演示一下我做的demo：
 
登录页面：
 
 
跳转到用户页面：