20160405servlet学习笔记session技术防止非法访问以及session生存时间

1.session是存放在服务器运存中的,也就是说tomcat重启后session会丢失,可以通过配置tomcat中conf文件夹下的content.xml文件实现session的持久化.

2.session有效期可以在tomcat/conf/web.xml中配置全局的session有效期,当然也可以在webapp中的WEB-INF中的web.xml文件配置单独webapp的session有效期.

3.如果session有效期发生冲突,则以自己的web应用下为标准.

4.也可以在servlet中使用session.setMaxInactiveInterval(60)方法设置session有效期,这里的60是指静止60s没有操作就销毁.

5.session的周期指的是持续无操作最大时间,cookie的生命周期指的是累计时间.

6.可以调用invalidate()方法使该session中所有属性立刻失效.可以用removeAttribute()使单独的属性失效.

7.浏览器之间不会访问到对方保存的session数据.

8.可以通过session技术防止没有登录直接访问某个需要登录的界面.