Sky's blog

我和我追逐的梦

常用链接

统计

其他链接

友情链接

最新评论

谁在创建session(2)-悄悄干活的jsp

jsp文件是session创建的一个源头,这里指的不是在jsp文件中用代码或者标签来操作session,这些都是在控制中的。容易忽视或者说根本就不会意识到的(比如我,就是写jsp三年后才发现的)是,jsp有自动创建session的机制,在jsp页面中,如果没有明确的给出 <%  @page session="false"%>,jsp页面会非常乖巧(如果刚好需要)或者说是偷偷摸摸(如果不需要)的自动在生成的java文件中增加一句: javax.servlet.http.HttpSession session = request.getSession(true)。

为了验证这个说法,我们做以下测试,先来一个最简单的jsp文件,名字也简单a.jsp,放到resin下。a.jsp的内容如下,注意里面有一个<%=1%>,后面会详细解释为什么需要这句话:

<%@ page session="true"%>
<html>
<head>
<title>test</title>
</head>
<body>
<%=1%>
</body>
</html>

用页面访问一下,然后到resin下webapp目录的WEB-INF/work/_jsp目录下找到_a__jsp.java,打开可以看到
public class _a__jsp extends com.caucho.jsp.JavaPage
有关jsp页面是如何转换为java文件再被编译成class的介绍,请google。看我们关心的public void  _jspService()方法:

public void  _jspService(javax.servlet.http.HttpServletRequest request,
              javax.servlet.http.HttpServletResponse response)
    throws java.io.IOException, javax.servlet.ServletException
  {
    javax.servlet.http.HttpSession session = request.getSession(true);
    com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();

可以看到第一行,明确的调用了request.getSession(true),session就是再这里被自动创建的,这里也就是JSP中隐含的session对象的来历。
使用抓包软件,可以看到请求这个jsp页面的http response里面有以下内容:
Set-Cookie: JSESSIONID=abc0zn72YuHtacvaaORBr; path=/
这个是刚才创建的session的jsessionid,被保存到cookie中。

然后继续测试,设置为
<%@ page session="false"%>

打开java文件:
public void _jspService(javax.servlet.http.HttpServletRequest request,
              javax.servlet.http.HttpServletResponse response)
    throws java.io.IOException, javax.servlet.ServletException
  {
    com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();

没有javax.servlet.http.HttpSession session = request.getSession(true);
这行代码了,同时http response 中没有Set-Cookie: JSESSIONID=***的语句了。
ok,这下清晰了。

再来解释一下为什么要在刚才的jsp文件里面增加<%=1%>这行,我们先做测试,将<%=1%>删除,同样测试<%@ page session="true/false"%>两种情况。可以看到
public void _jspService(javax.servlet.http.HttpServletRequest request,
              javax.servlet.http.HttpServletResponse response)
    throws java.io.IOException, javax.servlet.ServletException
  {
    javax.servlet.http.HttpSession session = request.getSession(true);


则不管是否有<%@ page session="true"%>都不自动创建session。考虑删除<%=1%>后的jsp文件内容

<%@ page session="true"%>
<html>
<head>
<title>test</title>
</head>
<body>
</body>
</html>
这个是最简单的纯html页面,估计是resin的实现考虑优化了这点。(resin: 都纯html了,还要session干嘛?)

最后再澄清一点,发现网络上很多人持有一个观点: session在第一次访问时创建。这个明显的是被jsp文件自动创建(默认是true哦)session给误导了,其实只有明确的调用request.getSession()/request.getSession(true)才会生成session。只是大多数人的jsp页面不会明确加入<%@ page session="false"%>,也不了解这个机制,造成了错误的理解。

posted on 2007-12-19 12:26 sky ao 阅读(3625) 评论(3)  编辑  收藏 所属分类: web

评论

# re: 谁在创建session(2)-悄悄干活的jsp[未登录] 2007-12-19 18:24 GoKu

看看COOKIE里面的JSESSIONID就知道了  回复  更多评论   

# re: 谁在创建session(2)-悄悄干活的jsp 2007-12-24 11:00 yoseasoft

精辟的解释  回复  更多评论   

# re: 谁在创建session(2)-悄悄干活的jsp[未登录] 2008-01-19 04:12 Eric

我覺得你被Resin搞混了,Resin對於<%@ page session="true|false"%>所產生的java code不符合JSP的Spec
請參考一下官方文件對此參數的說明
http://java.sun.com/products/jsp/syntax/1.1/syntaxref118.html#15653

實際上那段code 應該是
1. <%@ page session="true"%>
javax.servlet.http.HttpSession session = pageContext.getSession();
2. <%@ page session="false"%>
不會產生上面那段Code, 也就是說你無法在該JSP的程式碼中直接取用implicit object- session
  回复  更多评论   


只有注册用户登录后才能发表评论。


网站导航: