Spring MVC 会话管理实践教程:HttpSession 深入应用

于 2025-06-15 19:13:33 发布
阅读量923 收藏 9
点赞数 25
CC 4.0 BY-SA版权
分类专栏: Java基础 文章标签: spring mvc java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaoyu070321/article/details/148674153

一、Session 简介与基础概念

1.1 什么是 HttpSession?

在 Web 开发中,HttpSession 是服务器用来在多个页面请求之间识别用户和存储用户特定信息的机制。与 Cookie(存储在客户端)不同,Session 数据存储在服务器端,更加安全可靠。

1.2 Session 的工作机制

1. 用户首次访问 → 服务器创建 Session ID
2. Session ID 通过 Cookie 或 URL 重写返回客户端
3. 后续请求自动携带 Session ID
4. 服务器通过 Session ID 定位用户会话数据

1.3 Session 的核心作用

  1. 用户身份认证:存储登录状态
  2. 跨请求数据共享:在不同请求间传递数据
  3. 个性化设置:存储用户偏好
  4. 数据缓存:临时存储计算密集型结果

二、在你的项目中集成 HttpSession

2.1 在 Controller 中获取 Session

在日常使用中,有几种方式获取 HttpSession:

// 方法1:通过参数注入(推荐)
@RequestMapping("/login")
public String login(User user, String checkCode, Model model, HttpSession session) {
    // 使用session
}

// 方法2:通过自动注入(如你的代码)
@Autowired
private HttpSession session;

// 方法3:通过HttpServletRequest获取
@RequestMapping("/example")
public String example(HttpServletRequest request) {
    HttpSession session = request.getSession();
}

2.2 关键 Session 操作 API

// 设置Session属性
session.setAttribute("loginUser", user);

// 获取Session属性
User user = (User) session.getAttribute("loginUser");

// 移除Session属性
session.removeAttribute("loginUser");

// 使Session失效(用户登出)
session.invalidate();

// 设置Session最大非活动间隔(秒)
session.setMaxInactiveInterval(30 * 60); // 30分钟

三、项目中的 Session 实战应用

3.1 用户登录认证

在登录控制器中,Session 用于存储认证后的用户信息:

@RequestMapping("/login")
public String login(User user, String checkCode, Model model) {
    // ...验证码验证...
    // ...用户凭证验证...
    
    // 认证通过后存储用户信息到Session
    session.setAttribute("loginUser", dbuser);
    
    return "redirect:/user/list";
}

3.2 访问控制(拦截器集成)

结合拦截器实现全局访问控制:

// 自定义拦截器
public class AuthInterceptor implements HandlerInterceptor {
    public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
        HttpSession session = request.getSession();
        User loginUser = (User) session.getAttribute("loginUser");
        if (loginUser == null) {
            response.sendRedirect("/login.jsp");
            return false;
        }
        return true;
    }
}

3.3 在视图中使用 Session 数据

在 JSP 页面中可以访问 Session 数据:

<%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %>

<!-- 在JSP顶部显示当前用户 -->
<c:if test="${not empty sessionScope.loginUser}">
    <div class="user-info">
        欢迎您,${sessionScope.loginUser.username} | 
        <a href="${pageContext.request.contextPath}/user/logout">退出</a>
    </div>
</c:if>

3.4 实现用户注销功能

@RequestMapping("/logout")
public String logout() {
    // 1. 使当前Session失效
    session.invalidate();
    
    // 2. 可选:删除特定属性
    // session.removeAttribute("loginUser");
    
    return "redirect:/login.jsp";
}

四、高级 Session 管理技巧

4.1 分布式 Session 管理

在集群环境中,使用 Redis 实现分布式 Session:

<!-- pom.xml 添加依赖 -->
<dependency>
    <groupId>org.springframework.session</groupId>
    <artifactId>spring-session-data-redis</artifactId>
</dependency>

配置 Redis Session:

@Configuration
@EnableRedisHttpSession
public class RedisSessionConfig {
    @Bean
    public LettuceConnectionFactory connectionFactory() {
        return new LettuceConnectionFactory();
    }
}

4.2 Session 超时优化配置

application.properties 中配置全局超时时间:

# 设置Session超时为30分钟
server.servlet.session.timeout=30m

针对特定 Session 设置:

// 控制器中设置特定Session超时
@RequestMapping("/sensitive-operation")
public String sensitiveOperation(HttpSession session) {
    // 对敏感操作缩短Session超时
    session.setMaxInactiveInterval(5 * 60); // 5分钟
    // ...
}

4.3 Session 事件监听

创建 Session 监听器:

@Component
public class SessionListener implements HttpSessionListener {
    
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        System.out.println("Session创建: " + se.getSession().getId());
    }
    
    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        System.out.println("Session销毁: " + se.getSession().getId());
        // 可以在这里执行清理操作
    }
}

4.4 防止 Session 固定攻击

在登录成功后创建新的 Session:

@RequestMapping("/login")
public String login(..., HttpServletRequest request) {
    // ...认证逻辑...
    
    // 创建新Session(安全实践)
    HttpSession oldSession = request.getSession();
    oldSession.invalidate(); // 使旧Session失效
    
    // 创建新Session
    HttpSession newSession = request.getSession(true);
    newSession.setAttribute("loginUser", dbuser);
    
    return "redirect:/user/list";
}

五、性能优化与安全建议

5.1 Session 存储优化原则

  1. 最小化原则:只存储必要数据
  2. 轻量化原则:避免存储大对象
  3. 敏感信息加密:如 token、密钥等需要加密存储
  4. 定期清理:不使用时及时移除
// 只存储用户ID而非整个用户对象
session.setAttribute("userId", dbuser.getId());

5.2 并发访问控制

当多个请求可能同时修改 Session 时:

@RequestMapping("/update")
public synchronized String updateProfile(...) {
    // synchronized方法同步访问
    User user = (User) session.getAttribute("loginUser");
    // 更新操作...
    session.setAttribute("loginUser", user);
}

5.3 安全最佳实践

  1. HTTPS:通过SSL/TLS传输Session ID
  2. HttpOnly Cookie:防止XSS攻击
  3. SameSite Attribute:防止CSRF攻击
  4. Session ID 轮换:周期性更新Session ID

六、调试与常见问题解决

6.1 Session 调试技巧

// 打印所有Session属性
Enumeration<String> names = session.getAttributeNames();
while (names.hasMoreElements()) {
    String name = names.nextElement();
    System.out.println(name + " = " + session.getAttribute(name));
}

// 打印Session ID
System.out.println("Session ID: " + session.getId());

6.2 常见问题解决方案

问题:Session 属性丢失

  • 解决方案:检查 Session 超时设置;验证分布式环境一致性

问题:不同浏览器共享 Session

  • 解决方案:确保使用不同 Session;禁用第三方 Cookie

问题:登录后页面未更新用户信息

  • 解决方案:确保登录后重定向而非转发;清除浏览器缓存

七、项目实战扩展

7.1 记住我功能(Remember Me)

@RequestMapping("/login")
public String login(..., HttpServletResponse response) {
    // ...登录逻辑...
    
    // 创建"记住我"Cookie
    Cookie rememberCookie = new Cookie("rememberToken", generateSecureToken());
    rememberCookie.setMaxAge(30 * 24 * 60 * 60); // 30天
    rememberCookie.setHttpOnly(true);
    response.addCookie(rememberCookie);
}

7.2 多端登录管理

public class LoginManager {
    private static final Map<Integer, String> ACTIVE_SESSIONS = new ConcurrentHashMap<>();
    
    public static void loginUser(User user, String sessionId) {
        ACTIVE_SESSIONS.put(user.getId(), sessionId);
    }
    
    public static void logoutUser(User user) {
        ACTIVE_SESSIONS.remove(user.getId());
    }
    
    public static boolean isAlreadyLoggedIn(User user, String sessionId) {
        return ACTIVE_SESSIONS.get(user.getId()) != null && 
               !ACTIVE_SESSIONS.get(user.getId()).equals(sessionId);
    }
}

八、总结与最佳实践

通过本教程,你已全面掌握了 Spring MVC 中 HttpSession 的应用:

  1. Session 基础:理解 Session 概念和生命周期
  2. 项目集成:在控制器中高效使用 Session
  3. 安全实践:防止常见攻击模式
  4. 高级管理:分布式 Session 和性能优化
  5. 实战技巧:用户认证、访问控制和状态管理

在你的项目中应用 Session 管理时,请始终牢记:

  • 安全优先:HTTPS、安全标志、合理的超时
  • 最小存储:只存必要数据,避免过度依赖 Session
  • 可扩展性:为分布式环境设计 Session 方案
  • 用户体验:合理的超时设置,避免频繁重新登录

通过合理应用 Session 管理,你可以构建安全、高效且用户友好的 Web 应用程序。

Spring MVC中使用HttpSession管理会话属性
2501_90323865的博客
03-03 373
通过上述示例,我们展示了如何在Spring MVC中使用来管理会话数据。这种方式简单直接,尤其适用于无法使用Session Scope Bean的场景。希望本文能帮助你更好地理解和使用Spring MVC中的会话管理功能。
Spring Session + Redis实现分布式Session共享
热门推荐
叉叉哥的BLOG
09-30 7万+
通常情况下,Tomcat、Jetty等Servlet容器,会默认将Session保存在内存中。如果是单个服务器实例的应用,将Session保存在服务器内存中是一个非常好的方案。但是这种方案有一个缺点,就是不利于扩展。目前越来越多的应用采用分布式部署,用于实现高可用性和负载均衡等。那么问题来了,如果将同一个应用部署在多个服务器上通过负载均衡对外提供访问,如何实现Session共享?实际上实现Sessi
多个springmvc项目共用同一个redis导致session冲突的问题 的解决方案
zhb2010zhb的专栏
07-21 920
由于redis来做session的统一管理插件,如果多个项目使用同一个redis来管理session的话,那么session很有可能会出现冲突。下图:默认session在redis中的key值是spring:session:sessions:sessionId,如果多个项目中出现了相同的sessionId的情况下就会在redis中出现key值被覆盖。
Spring Boot 应用Spring Session 的配置(2) : 基于Redis的配置 RedisSessionConfiguration
Details Inside Spring
07-06 1万+
概述 本文基于以下组合的应用,通过源代码分析一下一个Spring Boot应用Spring Session的配置过程: Spring Boot 2.1.3.RELEASE Spring Session Core 2.1.4.RELEASE Spring Session Data Redis 2.1.3.RELEASE Spring Web MVC 5.1.5.RELEASE 在上一篇文章中,...
springsession源码分析二之RedisHttpSessionConfiguration
jannal专栏
06-13 9563
SpringHttpSessionConfiguration RedisHttpSessionConfiguration SpringHttpSessionConfiguration SpringHttpSessionConfiguration是RedisHttpSessionConfiguration的父类 代码 @Configuration public class Sp...
RedisHttpSessionConfiguration作用
最新发布
weixin_41418107的博客
07-12 210
实现RedisHttpSessionConfiguration的作用 作为一名经验丰富的开发者,你很清楚RedisHttpSessionConfiguration在Spring Boot中的作用。现在有一位刚入行的小白向你请教如何实现RedisHttpSessionConfiguration的功能,你需要耐心地指导他。 流...
关于spring session redis共享session的一个坑
十分钟年华老去
12-29 4万+
关于spring session redis共享session的一个坑,这两天写spring session redis发现几个小问题,挨个絮叨絮叨
Spring MVC会话管理】:4个技巧确保用户状态安全与高效
本文系统地探讨了Spring MVC会话管理的各个方面,从会话状态的理论基础到实际的安全策略和性能优化。文章首先介绍会话状态的概念及其重要性,进而深入分析Spring MVC中的会话机制,包括HTTP会话的工作原理和Spring ...
spring mvc 使用教程
03-12
在本教程中,我们将深入探讨如何使用 Spring MVC 进行开发。 1. **Spring MVC 概述** Spring MVCSpring 框架的一部分,它遵循 Model-View-Controller(MVC)设计模式。Model 代表业务对象,View 负责显示数据...
【高效实践Spring MVC与MyBatis整合术:优化注册登录系统的数据交互
[【高效实践Spring MVC与MyBatis整合术:优化注册登录系统的数据交互](https://img-blog.csdnimg.cn/df754808ab7a473eaf5f4b17f8133006.png) # 摘要 本文旨在探讨Spring MVC与MyBatis整合的技术细节和优化策略。...
Spring MVC 实战教程:从入门到精通
教程将深入讲解如何使用Spring MVC进行开发。 1. **Spring MVC基本架构** Spring MVC的核心组件包括DispatcherServlet、Controller、ModelAndView、ViewResolver等。DispatcherServlet作为前端控制器,负责接收...
springmvc+redis实现session共享
Lailai Monkey的博客
03-15 2400
Session 共享的简单原理 用户第一次访问应用时,应用会创建一个新的 Session,并且会将 Session 的 ID 作为 Cookie 缓存在浏览器,下一次访问时请求的头部中带着该 Cookie,应用通过获取的 Session ID 进行查找,如果该 Session 存在且有效,则继续该请求,如果 Cookie 无效或者 Session 无效,则会重新生成一个新的 Session 在普通...
SpringMvc集成redis保存session实现共享(No bean named 'springSessionRepositoryFilter' is defined)
a13631477685的博客
04-23 4316
错误信息如下: 项目中包含spring.xml和spring-mvc.xml文件,将redisHttpSessionConfiguration的配置信息 &lt;!-- spring session start... --&gt; &lt;!-- Put session into redis 1800秒 30分钟--&gt; &lt;bean id="redisHttpSessionCo...
springMVC整合spring-session --redis】
ivy_doudou的博客
03-21 1231
1、导入依赖 <!-- Spring session --> <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-data-redis</artifactId> <version&...
Redis实战和核心原理详解(6)使用Spring Session和Redis解决分布式Session跨域共享问题
徐刘根的博客
02-26 7万+
前言对于分布式使用Nginx+Tomcat实现负载均衡,最常用的均衡算法有IP_Hash、轮训、根据权重、随机等。不管对于哪一种负载均衡算法,由于Nginx对不同的请求分发到某一个Tomcat,Tomcat在运行的时候分别是不同的容器里,因此会出现session不同步或者丢失的问题。实际上实现Session共享的方案很多,其中一种常用的就是使用Tomcat、Jetty等服务器提供的Session共享
Spring Session Data Redis 配置中遇到的坑
ankeway的博客
06-09 3万+
说道Session共享,从网上搜索,有几种实现方式,比较普遍的 Tomcat Session Redis,这种是需要在tomcat容器里增加几个jar包,并修改Tomcat里的content.xml增加一条语句,实现session共享,此方法依赖于 tomcat. 还有一种是 Spring-Session-Data-Redis,此方法对servlet容器都有效,不局限于tomcat,也是比较
springsession+redis实现session共享(springmvc)
纳川的博客
07-09 998
配置 web.xml <filter> <filter-name>springSessionRepositoryFilter</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> ...
spring MVC项目中集成Spring session redis (使用spring session框架,redis作为存储缓存)...
weixin_33919941的博客
03-21 692
2019独角兽企业重金招聘Python工程师标准>>> ...
【译】理解Spring MVC Model Attribute 和 Session Attribute
weixin_30670965的博客
10-17 385
作为一名 Java Web 应用开发者,你已经快速学习了 request(HttpServletRequest)和 session(HttpSession)作用域。在设计和构建 Java Web 应用时,理解这些作用域,如何将数据与对象和这些作用域交互是十分重要的。【在 StackOverflow 上有一篇文章可以帮助你快速了解 request 和 session 作用域】 SPRING MVC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

我不是少爷.

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值