token在计算机身份认证中是令牌(临时)的意思,在词法分析中是标记的意思。一般作为邀请、登录系统使用。
1:request和session的区别
request
request 指在一次请求的全过程中有效。即从http请求到服务器处理结束,返回响应的整个过程,存放在HttpServletRequest对象中。在这个过程中可以使用forward方式跳转多个jsp。在这些页面里你都可以使用这个变量。request是用户请求访问的当前组件,以及和当前web组件共享同一用户请求的web组件。
session
Session是用户全局变量,在整个会话期间都有效。只要页面不关闭就一直有效(或者直到用户一直未活动导致会话过期,默认session过期时间为30分钟,或调用HttpSession的invalidate()方法)。存放在HttpSession对象中 ,同一个http会话中的web组件共享它。
使session失效:session.invalidate();
session的绑定解绑,和钝化(放在硬盘中,反之活化):有时需要的东西,如要钝化和活化灵活使用。比如关机会丢失问题。
session的四种状态:
session.setAttribute(“a”,xxx) 将对象a【绑定】到session中,implements:HttpSessionBindingListener
session.removeAttribute(“a”) 将对象a从session中【解绑】
实例:是对bean对象添加或者移除session
public class BeanListener implements HttpSessionBindingListener{
@Override
public void valueBound(HttpSessionBindingEvent event){
System.out.println("绑定");
}
@Override
public void valueUnbound(HttpSessionBindingEvent event){
System.out.println("解绑");
}
}
监听session对象的钝化和活化:HttpSessionActivationListener
钝化
活化
实例:
这只是监听钝化和活化,
public class BeanListener implements HttpSessionActivationListener{
@Override
public void sessionWillPassivate(HttpSessionEvent se){
System.out.println("钝化");
}
@Override
public void sessionDidActive(HttpSessionEvent se){
System.out.println("活化");
}
}
通过 配置 实现真正钝化和活化的配置:context.xml中配置
钝化实现:
org.apache.catalina.PersistenManager: 该类为钝化管理器
org.apache.catalina.seesion.FileStore : 该类为集体实现钝化
<manager ClassName="org.apache.catalina.PersistenManager" maxIdleSwap="最大空闲时间,超过该时间,将会被钝化">
<store className="org.apache.catalina.seesion.FileStore" directory="相对路径">
</manager>Store
活化自动实现,不用需要任何操作,只要你去取,就会活化对象。
钝化活化的实现就是序列化和反序列化的操作。
注意:从某地,或本地取出赋值,需要借助(继承)序列化或反序列化接口:serializable接口
这个接口最好制定serializable的id.
2:token主要有两个作用:
①:防止表单重复提交(防止表单重复提交一般还是使用前后端都限制的方式,比如:在前端点击提交之后,将按钮置为灰色,不可再次点击,然后客户端和服务端的token各自独立存储,客户端存储在Cookie或者Form的隐藏域(放在Form隐藏域中的时候,需要每个表单)中,服务端存储在Session(单机系统中可以使用)或者其他缓存系统(分布式系统可以使用)中。)
public String initLogin(ModelMap model, HttpSession session, String loginUrl) {
model.put("extLoginView", clientManager.getExtLoginView());
// 生成token
String token = UUID.randomUUID().toString().substring(0,16);
model.put(LOGIN_TOKEN, token);
//返回地址与方法的 String loginUrl一致,即初始化的时候调用完方法后,又回到初始化页面
return loginUrl;
}
②:用来作身份验证:
验证流程:客户端使用用户名跟密码->服务端收到验证登陆->验证登陆成功的同时,签发一个 Token传回给客户端->客户端接收Token,存储在如 Cookie 里或者 Local Storage 里->以后客户端每次向服务端请求资源的时候带着这个签发的 Token->服务端验证通过,则做处理。
//跳转到添加页面
@RequestMapping("/add.do")
public String addStatus(HttpServletRequestrequest,HttpServletResponse response){
//生成token
UUID token=UUID.randomUUID().toString();
//放入session中
request.getSession().setAttribute("token",token);
//放入request中传到前台
request.setAttribute("token",token);
return "addStatus";
}
//前台的token对比
@RequestMapping("/addMessage.do")
public synchronized String addMessage(HttpServletRequest request){
//获取session中的token
Object tokenServer=request.getSession().getAttribute("token");
//获取前台穿过来的token
String tokenClient=request.getParameter("token");
if(tokenServer==null){
System.out.println("提交出错");
}
else if(!tokenServer.equals(tokenClient)){
System.out.println("提交出错");
}else{
System.out.println("提交成功");
//移除session 防止重复提交
request.getSession().removeAttribute("token");
}
return "";
}
