JSP作為後起之秀能夠在伺服器程式設計環境中佔據一定地位,是和它良好支援一系列業界標準密切相關的。 Session就是它提供的基礎設施之一。作為一個程式設計師,你可以不介意具體在客戶端是如何實現,就方便的實現簡單的基於session的用戶管理。現在對於處理線上用戶,有幾種不同的處理方法。
一種是頁面刷新由使用者控制,伺服器端控制一個逾時時間例如30分鐘,到了時間之後使用者沒有動作就被踢出。這種方法的優點是,如果使用者忘了退出,可以防止別人惡意操作。缺點是,如果你在做一件很耗時的事情,超過了這個時間限制,submit的時候可能會再次面臨登陸。如果原來的葉面又是強制失效的話,就有可能失去你所做的工作。在實作的角度來看,這是最簡單的,Server端預設實作的就是這樣的模式。
另一種方式是,網站採用框架結構,有一個Frame或隱藏的iframe在不斷刷新,這樣你永遠不會被踢出,但是伺服器端為了判斷你是否在線,需要定一個發呆時間,如果超過這個發呆時間你除了這個自動刷新的頁面外沒有刷新其他頁面的話,就認為你已經不在線了。採取這種方式的典型是xici.net。 他的優點是可以利用不斷的刷新實現一些類似server-push的功能,例如網友之間發送訊息。
不管哪一種模式,為了實現瀏覽目前所有的線上用戶,還需要做一些額外的工作。 Servlet API中沒有得到Session清單的API。
可以利用的是Listener. Servlet 2.2和2.3規範在這裡略微有些不一樣。 2.2中HttpSessionBindingListener可以實作當一個HTTPSession中的Attribute變化的時候通知你的類別。而2.3中也引進了HttpSessionAttributeListener.鑑於我使用的環境是Visual age for Java 4和JRun server 3.1,他們還不直接支援Servlet 2.3的編程,這裡我用的是HttpSessionBindingListener.
需要做的事情包括做一個新的事情包括做一個新的事情包括做一個新的事情包括做一個新的事情包括做一個新的類別來實作HttpSessionBindingListener介面。這個介面有兩個方法:
public void valueBound(HttpSessionBindingEvent event)
public void valueUnbound(HttpSessionBindingEvent event)
當你執行Session.addAttribute(String,Object)的時候,如果你已經把一個實作了HttListpSessionBindingListpeneryenerd Session會通知你的類,呼叫你的valueBound方法。相反,Session.removeAttribute方法對應的是valueUndound方法。
public class HttpSessionBinding implements javax.servlet.http.HttpSessionBindingListener
{
ServletContext application = null;
public HttpSessionBinding(ServletContext application)
{
super(
)
;
this .application = application;
}
public void valueBound(javax.servlet.http.HttpSessionBindingEvent e)
{
Vector
activeSessions = (Vector) application.getAttribute("activeSessions");
if (activeSessions == nullcation
.
}
JDBCUser sessionUser = (JDBCUser)e.getSession().getAttribute("user");
if (sessionUser != null)
{
activeSessions.add(e.getSession());
}
application.setAttribute("activeSessions",activeSessions) ;
}
public void valueUnbound(javax.servlet.http.HttpSessionBindingEvent e)
{
JDBCUser sessionUser = (JDBCUser)e.getSession().getAttribute("user");
if (sessionUser == null)
{
Vector activeSessions = (Vector"); if (sessionUser == null) { Vector activeSessions appector (Vector) appector) .getAttribute("activeSessions");
if (activeSessions != null)
{
activeSessions.remove(e.getSession().getId());
application.setAttribute
("activeSessions",activeSessions);
}
}
} }
}
類別是一個任意User類別。在執行使用者登入時,把User類別和HttpSessionBinding類別都加入Session中去。
這樣,每次使用者登入後,在application中的attribute "activeSessions"這個vector中都會增加一筆記錄。每當session逾時,valueUnbound觸發,在這個vector中刪除將會被超時的session.
public void login()
throws ACLException,SQLException,IOException
{
/* get JDBC User Class */
if (user != null)
{
logout ();
}
{
// if session time out, 或 user didn't login, save the target url temporary.
JDBCUserFactory uf = new JDBCUserFactory();
if ( (this.request.getParameter("userID")==null) || (this.request.getParameter("password")==null) )
{
throw new ACLException("Please input a valid userName and password.");
}
JDBCUser user = (JDBCUser) uf.UserLogin(
this.request. getParameter("userID"),
this.request.getParameter("password") );
user.touchLoginTime();
this.session.setAttribute("user",user);
this.session.setAttribute("BindingNotify",new HttpSessionBinding (application));
}
}
Login的時候,把User和這個BindingNotofy目的的類別都加入session。 logout的時候,就要主動在activeSessions這個vector中刪除這個session.
public void logout()
throws SQLException,ACLException
{
if (this.user == null && this.session.getAttribute("user")==null)
{
return;
}
Vector activeSessions = (Vector) this.application.getAttribute("activeSessions");
if (activeSessions != null)
{
activeSessions.remove(this.session);
application.setAttribute("activeSessions",activeSessions)
;
java.util.Enumeration e = this.session.getAttributeNames();
while (e.hasMoreElements())
{
String s = (String)e.nextElement();
this.session.removeAttribute(s);
}
this.user. touchLogoutTime();
this.user = null;
}
這兩個函數位於一個HttpSessionManager類別中。這個類別引用了jsp裡面的application全域物件。這個類別的其他程式碼和本文無關且相當長,我就不貼出來了。
下面來看看JSP裡面怎麼用。
假設一個登入用的表單被提交到doLogin.jsp, 表單中包含UserName和password網域。節選部分片段:
<%
HttpSessionManager hsm = new HttpSessionManager(application,request,response);
try
{
hsm.login();
}
catch ( UserNotFoundException e)
{
response.sendRedirect("InsufficientPrivile.Userion e) { response.sendRedirect("InsufficientPrivile.Userjicientspden. %20exist.");
return;
}
catch ( InvalidPasswordException e2)
{
response.sendRedirect("InsufficientPrivilege.jsp?detail=Invalid%20Password");
return;
}
catch ( Exception e3) { %> Errorword"); return; } catch ( Exception e3)
{
%> Error:3. toString() %><br>
Press <a href="login.jsp">Here</a> to relogin.
<% return;
}
response.sendRedirect("index.jsp");
%>
再來看看現在我們怎麼得到一個當前在線的用戶列表。
<body bgcolor="#FFFFFF">
<table cellspacing="0" cellpadding="0" width="100%">
<tr >
<td style="width:24px">SessionId</td>
style="width:24px">SessionId
</td>style < "width:80px" >User
</td>
<td style="width
:80px" >Login Time
</td>
<td style="width:80px" >Last Access Time </td
/
Let
VectoractiveSessions
=
(Vector
)
應用
程式
。
;
while (it.hasNext())
{
HttpSession sess = (HttpSession)it.next();
JDBCUser sessionUser = (JDBCUser)sess.getAttribute("user");
String userId = (sessionUser!=null)?sessionAttribute("user"); String userId = (sessionUser!=null)?session ():"None";
%>
<tr>
<td nowrap=''><%= sess.getId() %></td>
<td nowrap=''><%= userId %></td nowrap=''><%= userId %></td
<td nowrap=''>
<%= BeaconDate.getInstance( new Java.util.Date(sess.getCreationTime())).getDateTimeString()%></td>
<td class="<%= stl %</td> <td class="<%= stl %> 33 " nowrap=''>
<%= BeaconDate.getInstance( new java.util.Date(sess.getLastAccessedTime())).getDateTimeString()%></td>
</tr>
<% } %</td>
</tr><%
}
%>
<<</body>
以上的程式碼從application中取出activeSessions,並且顯示出具體的時間。其中BeaconDate類別假設為格式化時間的類別。
這樣,我們得到了一個察看線上用戶的清單的框架。至於線上使用者清單分頁等功能,與本文無關,不予討論。
這是一個非刷新模型的例子,依賴session的超時機制。我的同事sonymusic指出很多時候由於各個廠商思想的不同,這有可能是不可信賴的。考慮到這種需求,需要在每個葉面刷新的時候都判斷當前使用者距離上次使用的時間是否超過某一個預定時間值。這實質上就是自己實現session超時。如果需要實作刷新模型,就必須使用這種每個葉面進行刷新判斷的方法。