Notion de session HTTP

L’interface HttpSession permet de définir la notion de session, qui n’existe pas en HTTP. Une session permet de suivre un utilisateur lors de sa navigation sur un site, de page en page. Elle peut être maintenue pendant un temps assez long, même de plusieurs jours, afin d’identifier un « utilisateur » qui reviendrait sur un site.

La notion de session crée donc une notion de persistance, durant une certaine période fixée à l'avance. Au-delà d'une certaine durée d'activité, une session HTTP expire, et toutes les informations qui y sont attachées expirent.

La gestion d'une session dans le standard Servlet peut se faire de deux manières. La manière la plus simple est de créer un cookie de session, envoyé au client, qu'il retournera dans l'en-tête HTTP à chaque requête. La valeur de ce cookie est un code de hachage, qui identifie un internaute de façon unique. Charge ensuite au serveur de conserver trace de ces cookies, et de les associer aux bons utilisateurs.

Si le navigateur client refuse les cookies, alors ce code de hachage est ajouté à l'URL de requête dans le cas de requête par la méthode GET, et aux paramètres internes pour les requêtes de type POST.

Deux types d'informations sont attachés à la session :

Enfin, l'API servlet définit la possibilité de déclencher des callbacks lorsqu'une session va expirer.

Examinons les principales méthodes exposées par l'interface HttpSession.

Exemple 3.5. Fixer la taille maximale d'une session dans le fichier web.xml

<session-config>
   <session-timeout>300</session-timeout>
</session-config>