Há um número de problemas que se levantam do fato que o HTTP é o protocolo “stateless”. No detalhe, quando você está fazendo o shopping em linha, é um annoyance real que o web server não pode fàcilmente recordar transações precedentes. Isto faz as aplicações como carros de shopping muito problematic: quando você adiciona uma entrada a seu carro, como o usuário sabe o que está já em seu carro? Mesmo se os usuários retivessem a informação contextual, você imóvel teria os problemas com e-comércio. Quando você se move da página onde você especificam o que você quer comprar (hospedado no web server regular) à página que faz exame de seus número de cartão do crédito e endereço do transporte (hospedados no usuário seguro que usa o SSL), como o usuário recorda o que você estava comprando?

Há quatro tipos de técnicas usadas no servlet segurar a sessão que são como segue:

1.URL Rewritting

2.Hidden formulário Fieds

sessão 3.Http

camada do soquete 4.Secure (SSL)

Você pode adicionar alguns dados extra na extremidade de cada URL que identifica a sessão, e o usuário pode associar que identificador de sessão com dados que armazenou sobre essa sessão somente. Esta é também uma solução excelente, e tem mesmo a vantagem que trabalha com os browsers que não suportam bolinhos ou onde o usuário incapacitou bolinhos. Entretanto, tem a maioria de mesmos problemas que os bolinhos, a saber que o programa do usuário-lado tem muitos de processar direto mas tedious a fazer. Além, você tem que ter muito cuidado que cada URL retornou ao usuário (mesmo através dos meios indiretos como campos da posição no usuário dirige de novo) tem a informação extra adicionada. E, se o usuário deixar a sessão e voltar através de um bookmark ou de uma ligação, a informação da sessão pode ser perdida.

Os formulários do HTML têm uma entrada que olhe como seguir: value= escondido " da " sessão " do name= " do type= " do <input… “>. Isto significa que, quando o formulário são submetidos, o nome especificado e o valor está incluído dentro COMEÇA ou AFIXA dados. Isto pode ser usado armazenar a informação sobre a sessão. Entretanto, tem a desvantagem principal que trabalha somente se cada página for gerada dinâmicamente, desde que o ponto inteiro é que cada sessão tem o identificador original.

A relação de HttpSession é executada pelos serviços para fornecer uma associação entre um cliente do HTTP e o usuário do HTTP. Esta associação, ou a sessão, persistem sobre a conexão múltipla e/ou os pedidos durante um período de tempo dado. As sessões são usadas manter o estado e a identidade do usuário através dos pedidos de página múltiplos.

Uma sessão pode ser mantida usando os bolinhos ou reescrever do URL. Para expo se o cliente suporta bolinhos, HttpSession define isCookieSupportDetermined o método e um método dos isUsingCookies.

HttpSession define os métodos que armazenam estes tipos de dados:

• Propriedades padrão da sessão, tais como um identificador para a sessão, e o contexto para a sessão.
• Dados da camada de aplicação, alcançados usando estes relação e usar-se armazenado dicionário-como a relação.

O protocolo de camada seguro dos soquetes, ou o SSL, sentam-se entre o protocolo do aplicação-nível (neste HTTP do caso) e o protocolo de baixo nível do transporte (para o Internet, quase exclusivamente TCP/IP). Segura os detalhes da gerência da segurança usando o cryptography chave público cifrar toda a comunicação do cliente/usuário. O SSL foi introduzido por Netscape com Netscape Navigator 1. Tem desde transforma-se o padrão de de facto para as comunicações em linha seguras e formulários a base do ele protocolo da segurança da camada de transporte (TLS) atualmente sob o desenvolvimento pelo Internet Engineering Task Force.

A versão 2.0 do SSL, a versão primeiramente para ganhar a aceitação difundida, inclui a sustentação para certificados do usuário somente. Fornece o authentication do usuário, do confidentiality, e da integridade. É aqui como trabalha:

• Um usuário conecta ao local seguro usando o protocolo de HTTPS (HTTP mais o SSL). (Você pode detectar locais usando o protocolo de HTTPS porque seu URLs começa com os https: em vez de http:.)





• O usuário assina sua chave pública com sua chave confidencial e emite-a para trás ao browser.





• O browser usa a chave pública do usuário verificar que a mesma pessoa que assinou a chave a possui realmente.





• A verificação do browser para ver se um Certificate Authority confiado assinou a chave. Se um não, o browser pergunta ao usuário se a chave puder ser confiada e rendimentos como dirigida.





• O cliente gera uma chave (DES) symmetric para a sessão, que é cifrada com a chave pública do usuário e emitida para trás ao usuário. Esta chave nova é usada cifrar todas as transações subseqüentes. A chave symmetric é usada por causa do custo computacional elevado de cryptosystems chaves públicos