Servlet在session中共享链接

开发 后端
本文介绍Servlet在session中共享链接,包括使用方法,安全问题和解决之道等。

问题所在

如果要编写一个购物车,通常需要写很多个不同功能的Servlet。例如用户登录、添加商品、查询购物车、结帐等。

在这些 Servlet 中都需要读写数据库。如果我们在每个 Servlet 中都进行连接 -> 读写 -> 断开连接的操作,就会消耗大量的服务器资源,不仅程序响应速度减缓,而且会加重服务器和数据库的负担。

把希望寄托于HttpSession

如我们所学,Servlet API 提供了一些方法和类来专门处理短期的会话跟踪。网站的每个用户都和 Javax.Servlet.http.HttpSession 对象有关,Servlet使用这个对象来记录和检索每个用户的信息。

幸运的是,我们可以在会话对象中存储任意的 Java 对象。存储的方法大家都已经很熟悉,就是使用 setAttribute()方法。代表数据库连接的Connection也不例外。

这就为我们让不同的Servlet在session中共享链接带来的希望。

安全问题

那么,仅仅像下面这样做就可以了么?

1、在Servlet1中,显示Servlet在session中设置一个属性:
session.setAttribute("connection", connection);

2、在Servlet2中,取出这个属性:
Connection connection = (Connection) session.getAttribute ("connection");

理论上,没有问题。在 Servlet1 中产生的 Connection 对象,到了 Servlet2 中可以继续使用。

但是如果 Servlet2 不小心改变了 connection 的引用,例如 connection = null; 那么,当它再次把这个connection放入session的属性当中,其它的 Servlet 就会得到一个指向 null 的 connection!

解决之道

把 connection 直接在 session 中传来传去,看来不怎么安全。

解决思路是,我们找一个专门的人来保管这个 connection,在得到请求的时候,由这个人把 connection 的引用返回给调用者。这样,即使调用者不小心把它得到的那份 connection 搞坏了,保管着手里也总还有一个备份。

相应的,在 session 的属性中,我们不再保存 connection 本身,而是把这个保管者存进去。因为他能随时给我们一个可用的 connection。

这个类的具体写法是:

  1. public class ConnectionHolder {  
  2. public ConnectionHolder(Connection con) {  
  3. // 保存连接  
  4.  
  5. this.con = con;  
  6. try {  
  7. // 禁用自动提交,以隔离不同session之间的操作。  
  8.  
  9. con.setAutoCommit(false);  
  10. }  
  11. catch(SQLException e) {  
  12. // 错误处理代码  
  13.  
  14. }  
  15. }  
  16. public Connection getConnection() {  
  17. // 通过这个getter方法获取连接  
  18.  
  19. return con;  
  20. }  
  21. private Connection con = null; // 设置为私有变量,这很重要,以确保变量安全。  
  22.  

使用方法

每个 Servlet 在希望取得数据库连接的时候,先看看Servlet在session中是否有这个“保管者”(即上面的ConnectionHolder)。

如果有的话,直接调用它的get方法,取得数据库连接。

如果没有的话,说明这个session还没有连接过数据库,那么当前类就立刻创建一个数据库连接,并把这个连接交给保管者,然后再把保管者放入 session 中,以便后续的 Servlet 使用。

下面是一个实例:

  1. protected void doGet(HttpServletRequest req, HttpServletResponse res)  
  2. throws ServletException, IOException {  
  3. // 同步代码取得数据库连接  
  4. synchronized (session) {  
  5. // 看看这个持有者是否已经在 session 中了  
  6. ConnectionHolder holder = (ConnectionHolder) session.getAttribute  
  7. ("servletapp.connection");  
  8. // 如果不在,就创建一个数据库连接,并把它交给持有者。  
  9. if (holder == null) {  
  10. try {  
  11. holder = new ConnectionHolder(DriverManager.getConnection(  
  12. "Connection URL"));  
  13. session.setAttribute("servletapp.connection", holder);  
  14. }  
  15. catch (SQLException sqle) {  
  16. // 错误处理代码  
  17. }  
  18. }  
  19. // 从容器取得实际连接  
  20. conn = holder.getConnection();  
  21. }  
  22. .... // 别忘了commit  

这段代码看起来有那么几行。但实际上,在每个session中,只有第一次执行的Servlet需要进行数据库连接操作,此后的Servlet只会执行第4、6、20这三行。

谁来负责断开连接?

当 Servlet 们不必再为创建数据库连接费心的时候,也就没有人愿意管关闭连接这档子事了。事实上,更重要的是,他们没法管。因为这个连接是放在 session 中的,而没有谁能准确的预测,一个 session 会何时终止。

好在有一种叫做“监听器”(Listener)的东西可以专门管这件事。Listener有很多方法,其中的两个方法是:
◆public void valueBound(HttpSessionBingEvent event);
◆public void valueUnbound(HttpSessionBingEvent event);

这两个方法可以在一个 session 被创建/失效的时候分别自动执行。我们就把关闭连接的代码放在第二个方法中,这样,当一个 session 失效的时候,数据库连接就会自动关闭。

要想让一个类成为Listener,只需让它实现 HttpSessionBindingListener 接口。我们的 connection 是由 ConnectionHolder 这个类来保管的,因此最方便的办法就是把它注册成一个监听器。

具体方法是:

  1. public void valueUnbound(HttpSessionBindingEvent event) {  
  2. // 当从Session删除或当Session结束时,关闭数据连接。  
  3. try {  
  4. if (con != null) {  
  5. con.rollback(); // 放弃所有未提交的数据  
  6. con.close();  
  7. }  
  8. }  
  9. catch (SQLException e) {  
  10. // 错误处理代码  
  11. }  
  12. }  
  13.  
  14. ConnectionHolder:  
  15.  
  16. import javax.servlet.http.HttpSessionBindingListener;  
  17. import javax.servlet.http.HttpSessionBindingEvent;  
  18. import java.sql.Connection;  
  19. import java.sql.SQLException;  
  20. public class ConnectionHolder implements HttpSessionBindingListener {  
  21. public ConnectionHolder(Connection con) {  
  22. // 保存连接  
  23. this.con = con;  
  24. try {  
  25. con.setAutoCommit(false);  
  26. }  
  27. catch(SQLException e) {  
  28. // 错误处理代码  
  29. }  
  30. }  
  31. public Connection getConnection() {  
  32. return con;  
  33. }  
  34. public void valueBound(HttpSessionBindingEvent event) {  
  35. // 当增加Session时,什么也不做  
  36. }  
  37. public void valueUnbound(HttpSessionBindingEvent event) {  
  38. // 当从Session删除或当Session结束时,关闭数据连接。  
  39. try {  
  40. if (con != null) {  
  41. con.rollback(); // 放弃所有未发送数据  
  42. con.close();  
  43. }  
  44. }  
  45. catch (SQLException e) {  
  46. // 错误处理代码  
  47. }  
  48. }  
  49. private Connection con = null;  

【编辑推荐】

  1. Future Response Servlet特性
  2. 简单介绍Servlet实例运行
  3. 浅析ServletQueryForConnPool测试
  4. Tomcat Java Servlet引擎安全设定
  5. Jetty-Servlet容器额外功能
责任编辑:佚名 来源: IT168
相关推荐

2010-07-30 08:25:20

SessionASP.NET

2009-07-08 15:13:00

获取所session数JSPServlet

2010-07-23 10:01:54

SQL Server

2009-07-08 15:01:00

Servlet Ses

2011-05-07 16:31:17

Windows系统网络打印机

2009-07-07 16:57:11

2009-08-15 21:22:19

2009-07-02 14:39:27

Session的值JSP Asp.net

2014-12-15 15:07:36

Esri

2011-08-02 13:03:10

服务器DFS

2020-03-20 14:48:46

SpringBootJava分布式

2021-05-31 10:47:17

SpringSecuritySession

2012-11-06 16:51:29

nginx负载均衡

2011-05-07 09:32:31

Tomcat

2015-08-19 15:45:33

2009-07-09 10:03:40

Servlet应用Weblogic环境

2009-07-06 15:19:13

webwork ser

2009-07-07 09:41:02

异步ServletAJAX

2009-02-25 08:30:24

Windows 7Homegroup

2012-05-15 09:31:11

Windows 8IE 10
点赞
收藏

51CTO技术栈公众号