+设为首页 +添加到收藏夹
不管正在构建的是 j2ee 还是 j2se 服务器应用程序,都有可能以某种方式使用 java servlet —— 可能是直接地通过像 jsp 技术.velocity 或者 webmacro 这样的表示层,也可能通过一个基于 servlet 的 web 服务实现,如 axis 或者 glue.servlet api 提供的一个最重要的功能是会话管理 —— 通过 httpsession 接口进行用户状态的认证.失效与维护.
【程序编程相关:ASP六大对象介绍 】会话状态 【推荐阅读:xmlhttp 抓取网页内容1】
如果应用程序能够在 httpsession 中存储用户状态,这种方法通常比其他方法更好.在客户端用 http cookie 或者隐藏表单字段存储会话状态有很大的安全风险 —— 它将应用程序的一部分内部内容暴露给了非受信任的客户层.(一个早期的电子商务网站将购物车内容(包括价格)存储在隐藏表单字段中,从而可以很容易被非法利用,让任何了解 html 与 http 的用户可以以 0.01 美元购买任何商品.噢)此外,使用 cookie 或者隐藏表单字段很混乱,容易出错,并且脆弱(如果用户禁止在浏览器中使用 cookie,那么基于 cookie 的方法就完全不能工作). 【扩展信息:[intro.compliance] -】
几乎每一个 web 应用程序都有一些会话状态,这些状态有可能像记住您是否已登录这么简单,也可能是您的会话的更详细的历史,如购物车的内容.以前查询结果的缓存或者 20 页动态问卷表的完整响应历史.因为 http 协议本身是无状态的,所以需要将会话状态存储在某处并与浏览会话以某种方式相关联,使得下次请求同一 web 应用程序的页面时可以容易地获取.幸运的是,j2ee 提供了几种管理会话状态的方法 —— 状态可以存储在数据层,用 servlet api 的 httpsession 接口存储在 web 层,用有状态会话 bean 存储在 enterprise javabeans(ejb)层,甚至用 cookie 或者隐藏表单字段将状态存储在客户层.不幸的是,会话状态管理不当会带来严重的性能问题.在 j2ee 应用程序中存储服务器端状态的其他方法是使用有状态会话 bean,或者在数据库中存储会话状态.虽然有状态会话 bean 在会话状态管理方面有更大的灵活性,但是在可能的情况下,将会话状态存储在 web 层仍然有好处.如果业务对象是无状态的,那么通常可以仅仅添加更多 web 服务器来扩展应用程序,而不用添加更多 web 服务器与更多 ejb 容器, 这样的成本一般要低一些并且容易完成.使用 httpsession 存储会话状态的另一个好处是 servlet api 提供了一种会话失效时通知的容易方法.在数据库中存储会话状态的成本可能难以承受.
... 下一页