瑞吉外卖中关于短信校验代码的Session问题

关于短信校验代码中HttpSession

由于涉及到阿里云的短信服务,这里改成直接从服务端查看验证码

代码中有一个关于session的问题:

java 复制代码
session.setAttribute("user",user.getId());

这一段代码中为什么session.setAttribute("user",user.getId())可以直接保存到前端浏览器的session,不是说session是保存到服务器吗?

核心概念澄清

HttpSession 数据确实只存储在服务器端(内存/Redis/数据库等)

浏览器永远不会直接获取或存储 Session 数据,它只保存一个 Session ID(通常通过 Cookie)

代码执行流程详解

session.setAttribute("user", user.getId())

将用户ID 存储在服务器的 Session 对象中(键为 "user",值为用户ID)

此时没有任何数据发送到浏览器!

Session ID 的传递机制

当第一次调用 request.getSession() 时,服务器会:

创建一个唯一的 JSESSIONID(如 ABC123)

在响应头中通过 Set-Cookie: JSESSIONID=ABC123 告诉浏览器保存此ID

http 复制代码
HTTP/1.1 200 OK
Set-Cookie: JSESSIONID=ABC123; Path=/; HttpOnly

浏览器后续请求会自动携带此Cookie:

http 复制代码
GET /api/userinfo HTTP/1.1
Cookie: JSESSIONID=ABC123

服务器如何关联数据

当浏览器携带 JSESSIONID=ABC123 访问时:

服务器通过 ABC123 找到对应的 HttpSession 对象

然后从该对象中读取 getAttribute("user") 获取用户ID

为什么看起来像是"保存到前端"?

错觉来源:因为浏览器保存了 JSESSIONID Cookie,使得后续请求能自动关联到服务器的 Session 数据

关键结论

session.setAttribute() 只修改服务器端数据

浏览器仅持有 JSESSIONID(无实际用户数据)

如果浏览器禁用Cookie,Session 机制会失效(除非改用URL重写)

相关推荐
2401_8414956443 分钟前
【数据结构】红黑树的基本操作
java·数据结构·c++·python·算法·红黑树·二叉搜索树
学编程的小鬼1 小时前
SpringBoot 自动装配原理剖析
java·spring boot·后端
@@神农2 小时前
maven的概述以及在mac安装配置
java·macos·maven
杜子不疼.2 小时前
【C++】玩转模板:进阶之路
java·开发语言·c++
夜晚中的人海2 小时前
【C++】异常介绍
android·java·c++
Le1Yu3 小时前
2025-9-28学习笔记
java·笔记·学习
C++chaofan3 小时前
项目中为AI添加对话记忆
java·数据结构·人工智能·redis·缓存·个人开发·caffeine
老华带你飞3 小时前
机电公司管理小程序|基于微信小程序的机电公司管理小程序设计与实现(源码+数据库+文档)
java·数据库·vue.js·spring boot·微信小程序·小程序·机电公司管理小程序
拾忆,想起4 小时前
AMQP协议深度解析:消息队列背后的通信魔法
java·开发语言·spring boot·后端·spring cloud
PH = 74 小时前
Spring Ai Alibaba开发指南
java·后端·spring