login.jsp：

<%
　　String?username? = ? "" ;
???????? // 從客戶端讀取硬盤中的cookie文件
????????Cookie[]?cookies? = ?request.getCookies();?
???????? if (cookies? == ? null ) {?
???????????username? = ? "" ;
????????}
??????? else {
?????????? for ?( int ?i? = ? 0 ;?i? < ?cookies.length;?i ++ ) {
???????????????? if ?( " USERNAME " .equalsIgnoreCase(cookies[i].getName())) {
????????????????????username? = ?cookies[i].getValue();
???????????????}
????????}
%>
??
< form?name = " login " ??method = " post " ?action = " login.do " >
?????? < td?width = " 100% " ?bgcolor = " #CCCCCC " ?colspan = " 2 " >
??? < p?align = " left " > 用戶名 < br >
?????????????? < input?type = " text " ?name = " username " ?value = ? " <%=username%> " >
?????? </ p >
?????? < p?align = " left " > 密　碼? < br >
?????????????? < input?type = " password " ?name = " password " >
?????? </ p >
??????? < p?align = " left " >
????????? < input?type = " submit " ?name = " Submit " ?value = " 確定 " >
????????? < input?name = " reset " ?type = " reset " ??value = " 取消 " >
??????? </ p >
? </ form >

LoginAction：
???????????????? // 將正確userName放入c1對象，并用"USERNAME"做key標識
???????????????Cookie?c1 = ? new ?Cookie( " USERNAME " ,logindto.getUsername());
??????????????? // 如果不設置時間，則cookie為會話cookie，不寫入客戶端硬盤
???????????????c1.setMaxAge( 60 * 60 * 24 );???
???????????????response.addCookie(c1);??


*************************************************************************************
七、如何使用cookie檢測初訪者
*************************************************************************************

A.調用HttpServletRequest.getCookies()獲取Cookie數組
B.在循環中檢索指定名字的cookie是否存在以及對應的值是否正確
C.如果是則退出循環并設置區別標識
D.根據區別標識判斷用戶是否為初訪者從而進行不同的操作

*************************************************************************************
八、使用cookie檢測初訪者的常見錯誤
*************************************************************************************

不能僅僅因為cookie數組中不存在在特定的數據項就認為用戶是個初訪者。如果cookie數組為null，客戶可能是一個初訪者，也可能是由于用戶將cookie刪除或禁用造成的結果。但是，如果數組非null,也不過是顯示客戶曾經到過你的網站或域，并不能說明他們曾經訪問過你的servlet。其它servlet、JSP頁面以及非Java Web應用都可以設置cookie，依據路徑的設置，其中的任何cookie都有可能返回給用戶的瀏覽器。

正確的做法是判斷cookie數組是否為空且是否存在指定的Cookie對象且值正確。

*************************************************************************************
九、使用cookie屬性的注意問題
*************************************************************************************

屬性是從服務器發送到瀏覽器的報頭的一部分；但它們不屬于由瀏覽器返回給服務器的報頭。

因此除了名稱和值之外，cookie屬性只適用于從服務器輸出到客戶端的cookie；服務器端來自于瀏覽器的cookie并沒有設置這些屬性。因而不要期望通過request.getCookies得到的cookie中可以使用這個屬性。這意味著，你 不能僅僅通過設置cookie的最大時效，發出它，在隨后的輸入數組中查找適當的cookie,讀取它的值，修改它并將它存Cookie，從而實現不斷改變的cookie值 。

*************************************************************************************
十、如何使用cookie記錄各個用戶的訪問計數
*************************************************************************************

1.獲取cookie數組中專門用于統計用戶訪問次數的cookie的值
2.將值轉換成int型
3.將值加1并用原來的名稱重新創建一個Cookie對象
4.重新設置最大時效
5.將新的cookie輸出

*************************************************************************************
十一、session在不同環境下的不同含義
*************************************************************************************

session，中文經常翻譯為會話，其本來的含義是指有始有終的一系列動作/消息，比如打電話是從拿起電話撥號到掛斷電話這中間的一系列過程可以稱之為一個session。然而當session一詞與網絡協議相關聯時，它又往往隱含了“面向連接”和/或“保持狀態”這樣兩個含義。

session在Web開發環境下的語義又有了新的擴展，它的含義是指一類用來在客戶端與服務器端之間保持狀態的解決方案。有時候Session也用來指這種解決方案的存儲結構。

*************************************************************************************
十二、session的機制
*************************************************************************************

session機制是一種服務器端的機制，服務器使用一種類似于散列表的結構(也可能就是使用散列表)來保存息。

但程序需要為某個客戶端的請求創建一個session的時候，服務器首先檢查這個客戶端的請求里是否包含了一個session標識－稱為session id，如果已經 包含一個session id 則說明 以前已經為此客戶創建過session ，服務器就按照session id把這個session檢索出來使用(如果檢索不到，可能會新建一個，這種情況可能出現在服務端已經刪除了該用戶對應的session對象，但用戶人為地在請求的URL后面附加上一個JSESSION的參數)。如果 客戶請求不包含session id ，則為此客戶創建一個session并且同時生成一個與此session相關聯的session id，這個session id將 在本次響應 中返回給客戶端保存。

*************************************************************************************
十三、保存session id的幾種方式
*************************************************************************************

A ．保存session id的方式可以采用cookie，這樣在交互過程中瀏覽器可以自動的按照規則把這個標識發送給服務器。
B ．由于cookie可以被人為的禁止，必須有其它的機制以便在cookie被禁止時仍然能夠把session id傳遞回服務器，經常采用的一種技術叫做URL重寫，就是把session id附加在URL路徑的后面，附加的方式也有兩種，一種是作為URL路徑的附加信息，另一種是作為查詢字符串附加在URL后面。網絡在整個交互過程中始終保持狀態，就必須在每個客戶端可能請求的路徑后面都包含這個session id。如果客戶端Cookie禁用，則服務器可以 自動通過重寫URL的方式 來保存Session的值，并且這個過程對程序員透明。(IE6.0除外)
C ．另一種技術叫做表單隱藏字段。就是服務器會自動修改表單，添加一個隱藏字段，以便在表單提交時能夠把session id傳遞回服務器。

*************************************************************************************
十四、session什么時候被創建
*************************************************************************************

一個常見的誤解是以為session在有客戶端訪問時就被創建，然而事實是直到某server端程序調用HttpServletRequest.getSession(true)這樣的語句時才被創建。

注意如果JSP沒有顯示的使用 <% @page session="false"%> 關閉session ，則JSP文件在編譯成Servlet時將會自動加上這樣一條語句 HttpSession session = HttpServletRequest.getSession(true); 這也是JSP中隱含的session對象的來歷。

由于session會消耗內存資源，因此，如果不打算使用session，應該在所有的JSP中關閉它。

*************************************************************************************
十五、session何時被刪除
*************************************************************************************

session在下列情況下被刪除：
A ．程序調用HttpSession.invalidate()
B ．距離上一次收到客戶端發送的session id時間間隔超過了session的最大有效時間
C ．服務器進程被停止

再次注意關閉瀏覽器只會使存儲在客戶端瀏覽器內存中的session cookie失效，不會使服務器端的session對象失效，除非此時Server端剛好session失效時間到了。

*************************************************************************************
十六、URL重寫有什么缺點
*************************************************************************************

對所有的URL使用URL重寫，包括超鏈接，form的action，和重定向的URL。每個引用你的站點的URL，以及那些返回給用戶的URL(即使通過間接手段，比如服務器重定向中的Location字段)都要添加額外的信息。

這意味著在你的站點上不能有任何靜態的HTML頁面(至少靜態頁面中不能有任何鏈接到站點動態頁面的鏈接)。因此，每個頁面都必須使用servlet或JSP動態生成。即使所有的頁面都動態生成，如果用戶離開了會話并通過書簽或鏈接再次回來，會話的信息都會丟失，因為存儲下來的鏈接含有錯誤的標識信息－該URL后面的SESSION ID已經過期了。

*************************************************************************************
十七、使用隱藏的表單域有什么缺點
*************************************************************************************

???? 僅當每個頁面都是有表單提交而動態生成時，才能使用這種方法。單擊常規的<A HREF..>超文本鏈接并不產生表單提交，因此隱藏的表單域不能支持通常的會話跟蹤，只能用于一系列特定的操作中，比如在線商店的結賬過程。

*************************************************************************************
十八、會話跟蹤的基本步驟
*************************************************************************************

1．訪問與當前請求相關的會話對象
2．查找與會話相關的信息
3．存儲會話信息
4．廢棄會話數據

*************************************************************************************
十九、getSession()/getSession(true)、getSession(false)的區別
*************************************************************************************

getSession()/getSession(true)：當session存在時返回該session，否則新建一個session并返回該對象
getSession(false)：當session存在時返回該session，否則不會新建session，返回null。

*************************************************************************************
二十、如何將信息于會話關聯起來
*************************************************************************************

　　setAttribute方法會替換上次setAttribute中設定的值；如果想要在不提供任何代替的情況下移除某個值，則應使用removeAttribute。這個方法會觸發所有實現了HttpSessionBindingListener接口的值的valueUnbound方法。

*************************************************************************************
二十一、會話屬性的類型有什么限制嗎
*************************************************************************************

通常會話屬性的類型只要是Object就可以了。除了null或基本類型，如int,double,boolean。如果要使用基本類型的值作為屬性，必須將其轉換為相應的封裝類對象。

*************************************************************************************
二十二、如何廢棄會話數據
*************************************************************************************
A ．只移除自己編寫的servlet創建的數據：
??? 調用removeAttribute(“key”)將指定鍵關聯的值廢棄
B ．刪除整個會話(在當前Web應用中)：
??? 調用invalidate，將整個會話廢棄掉。這樣做會丟失該用戶的所有會話數據，而非僅僅由我們servlet或JSP頁面創建的會話數據
C ．將用戶從系統中注銷并刪除所有屬于他(或她)的會話
??? 調用logOut，將客戶從Web服務器中注銷，同時廢棄所有與該用戶相關聯的會話(每個Web應用至多一個)。這個操作有可能影響到服務器上多個不同的Web應用。

*************************************************************************************
二十三、使用isNew來判斷用戶是否為新舊用戶的錯誤做法
*************************************************************************************

public boolean isNew()方法如 果會話尚未和客戶程序(瀏覽器)發生任何聯系 ，即服務器端程序還沒有返回客戶端時,則這個方法返回true，這一般是因為會話是新建的，不是由輸入的客戶請求所引起的。但 如果isNew返回false，只不過是說明他之前曾經訪問Web應用，并不代表他們曾訪問過我們的servlet或JSP頁面。

因為session是與用戶相關的，在用戶之前訪問的每一個頁面都有可能創建了會話。因此isNew為false只能說用戶之前訪問過該Web應用，session可以是當前頁面創建，也可能是由用戶之前訪問過的頁面創建的。 正確的做法是判斷某個session中是否存在某個特定的key且其value是否正確 。(待測試)

*************************************************************************************
二十四、Cookie的過期和Session的超時有什么區別
*************************************************************************************

會話的超時由服務器來維護，它不同于Cookie的失效日期。

首先，會話一般基于駐留內存的cookie不是持續性的cookie，因而也就沒有截至日期。即使截取到JSESSIONID cookie，并為它設定一個失效日期發送出去。瀏覽器會話和服務器會話也會截然不同。

*************************************************************************************
二十五、session cookie和session對象的生命周期是一樣的嗎
*************************************************************************************

當用戶關閉了瀏覽器雖然session cookie已經消失，但session對象仍然保存在服務器端，直到其失效時間。

*************************************************************************************
二十六、是否只要關閉瀏覽器，session就消失了
*************************************************************************************

程序一般都是在用戶做log off的時候發個指令去刪除session，然而瀏覽器從來不會主動在關閉之前通知服務器它將要被關閉，因此服務器根本不會有機會知道瀏覽器已經關閉。服務器會一直保留這個會話對象直到它處于非活動狀態超過設定的間隔為止。

之所以會有這種錯誤的認識，是因為大部分session機制都使用會話cookie來保存session id，而關閉瀏覽器后這個session id就消失了，再次連接到服務器時也就無法找到原來的session。如果服務器設置的cookie被保存到硬盤上，或者使用某種手段改寫瀏覽器發出的HTTP請求報頭，把原來的session id發送到服務器，則再次打開瀏覽器仍然能夠找到原來的session。恰恰是由于關閉瀏覽器不會導致session被刪除，迫使服務器為session設置了一個失效時間，當距離客戶上一次使用session的時間超過了這個失效時間時，服務器就可以認為客戶端已經停止了活動，才會把session刪除以節省存儲空間。

由此我們可以得出如下結論：
關閉瀏覽器，只會是瀏覽器端內存里的session cookie消失，但不會使保存在服務器端的session對象消失，同樣也不會使已經保存到硬盤上的持久化cookie消失。


補充 ：那如何做到在瀏覽器關閉時刪除session呢 ？

嚴格的講，做不到這一點。可以做一點努力的辦法是在所有的客戶端頁面里使用javascript代碼window.oncolose來監視瀏覽器的關閉動作，然后向服務器發送一個請求來刪除session。但是對于瀏覽器崩潰或者強行殺死進程這些非常規手段仍然無能為力。

*************************************************************************************
二十七、打開兩個瀏覽器窗口訪問應用程序會使用同一個session還是不同的session
*************************************************************************************

通常session cookie是不能跨窗口使用的，當你新開了一個新的瀏覽器窗口進入相同頁面時，系統會賦予你一個新的session id，這樣我們信息共享的目的就達不到了。對session來說是只認id不認人，因此不同的瀏覽器， 不同的窗口打開方式 以及 不同的cookie存儲方式 ( 如會話cookie和持久cookie )都會對這個問題的答案有影響。

(在IE下測試,打開兩個瀏覽器(不是新建窗口,是直接啟動兩次瀏覽器),得到的SessionID也是不一樣)

要實現跨窗口的會話跟蹤，我們可以先把session id保存在persistent cookie中(通過設置session的最大有效時間)，然后在新窗口中讀出來，就可以得到上一個窗口的session id了，這樣通過session cookie和persistent cookie的結合我們就可以實現了跨窗口的會話跟蹤。(待測試)

*************************************************************************************
二十八、如何使用會話顯示每個客戶的訪問次數
*************************************************************************************

由于客戶的訪問次數是一個整型的變量，但session的屬性類型中不能使用int，double，boolean等基本類型的變量，所以我們要用到這些基本類型的封裝類型對象作為session對象中屬性的值.

但像Integer是一種不可修改(Immutable)的數據結構 ：構建后就不能更改。這意味著每個請求都必須創建新的Integer對象，之后使用setAttribute來 覆蓋 之前存在的老的屬性的值。例如：


*************************************************************************************
二十九、如何使用會話累計用戶的數據
*************************************************************************************

使用可變的數據結構 ，比如數組、List、Map或含有可寫字段的應用程序專有的數據結構。通過這種方式，除非首次分配對象，否則不需要調用setAttribute。例如：

Integer?value? = ?(Integer)request.getSession().getAttribute( " cout " );
if ?(value? == ? null ) {
?????value? = ? new ?CountClass(…);　 // ?新創建一個不可更改對象
} else {
?????value? = ? new ?CountClass(calculated(value));? // ?對value重新計算后創建新的對象
}
request.getSession().setAttribute( " cout " ,value); // ?使用新創建的對象覆蓋原來的老的對象

List?list_check? = ?(List)?request.getSession().getAttribute( " ids_go " );
if (list_check? = ? = ? null ) {
?????list_check? = ? new ?List( );
?????request.getSession().setAttribute(( " ids_go " ，list_check?);
} else {
??????list_check?.clear(); // ?如果已經存在該對象則更新其屬性而不需重新設置屬性
}
List?list_check1? = ?(List)?request.getSession().getAttribute( " ids_go " );
System.out.println(list_check1.size()); // 此時size為0