Introdução à Gerência de Sessão
Uma sessão em aplicações web representa uma sequência de interações entre um usuário específico e o servidor durante um período de tempo. É como uma "conversa" contínua entre o navegador do usuário e o servidor.
A gerência de sessão permite que o servidor identifique usuários individuais, mesmo com múltiplos acessos simultâneos, possibilitando experiências personalizadas e seguras para cada visitante do site.
A sessão é fundamental para aplicações que necessitam rastrear o estado do usuário entre diferentes requisições HTTP, como carrinhos de compras, área de membros ou sistemas administrativos.
Conceito de Sessão HTTP
HTTP é Stateless
O protocolo HTTP, por natureza, não mantém estado entre requisições. Cada solicitação é tratada de forma independente, sem memória de interações anteriores. Isso significa que o servidor, por padrão, não sabe se duas requisições vieram do mesmo usuário.
As sessões foram criadas justamente para superar essa limitação, permitindo que o servidor identifique múltiplas requisições como pertencentes ao mesmo usuário, mesmo sendo enviadas em momentos diferentes.
A sessão funciona como uma "ponte" que conecta requisições independentes, criando uma experiência contínua para o usuário durante sua navegação pelo site. Isso é essencial para recursos como carrinhos de compra, áreas de membros e qualquer funcionalidade que precise "lembrar" do usuário.
Alternativa: URL Rewriting
Nem todos os usuários permitem cookies em seus navegadores. Para estes casos, o Java EE oferece uma alternativa chamada URL Rewriting, que adiciona o identificador de sessão diretamente à URL.
Quando o servidor detecta que cookies estão desabilitados, ele automaticamente reescreve os links da página, incluindo o parâmetro JSESSIONID na URL.
Exemplo de URL reescrita:
http://meusite.com.br/pagina.jsp;jsessionid=A43F7D2C0EE0B35742B15B41577E5F8A
Embora funcional, esta abordagem tem desvantagens em termos de segurança e estética da URL, sendo preferível o uso de cookies quando possível.
Tempo de expiração da sessão
Por padrão, uma sessão HTTP em servidores Java expira após 30 minutos de inatividade. Este valor pode ser personalizado para atender às necessidades específicas da sua aplicação.
// Define o tempo máximo de inatividade (em segundos)
session.setMaxInactiveInterval(1800); // 30 minutos
// Para sessões mais curtas (ex: área sensível)
session.setMaxInactiveInterval(300); // 5 minutos
// Para sessões mais longas (ex: "Lembrar de mim")
session.setMaxInactiveInterval(86400); // 24 horas
O tempo ideal de expiração é um equilíbrio entre segurança e experiência do usuário:
- Sessões muito curtas aumentam a segurança, mas frustram usuários com logout frequente
- Sessões muito longas melhoram a experiência, mas aumentam o risco de acesso não autorizado
Para áreas com dados sensíveis, priorize a segurança com tempos mais curtos.
JSP: Exemplo de Redirecionamento
Em JSP, você pode realizar redirecionamentos usando scriptlets, mas esta prática não é recomendada para lógica de controle de acesso complexa:
<%
// Verifica se usuário não está autenticado
if (session.getAttribute("autenticado") == null) {
// Redireciona para página de login
response.sendRedirect("login.jsp");
return; // Importante para interromper a execução
}
%>
<!-- Conteúdo restrito aqui -->
Embora funcional, esta abordagem tem desvantagens:
- Mistura lógica de negócio com apresentação
- Requer duplicação de código em múltiplas páginas
- Dificulta a manutenção em aplicações grandes
É preferível implementar um Servlet Filter para centralizar a lógica de controle de acesso, como veremos adiante.
Integração com JDBC (Banco de Dados)
Na prática, as credenciais dos usuários devem ser armazenadas em um banco de dados, não codificadas diretamente no servlet. Abaixo, um exemplo de validação usando JDBC:
// No LoginServlet, substitua a validação simples por:
String sql = "SELECT * FROM usuarios WHERE username = ? AND senha = ?";
try (Connection conn = DatabaseUtil.getConnection();
PreparedStatement stmt = conn.prepareStatement(sql)) {
stmt.setString(1, username);
stmt.setString(2, password); // Idealmente, use hash+salt
try (ResultSet rs = stmt.executeQuery()) {
if (rs.next()) {
// Usuário encontrado, credenciais válidas
HttpSession session = request.getSession();
session.setAttribute("usuarioLogado", username);
session.setAttribute("autenticado", true);
// Opcional: carregar mais dados do usuário
session.setAttribute("nomeCompleto", rs.getString("nome"));
session.setAttribute("perfil", rs.getString("perfil"));
response.sendRedirect("areaRestrita.jsp");
return;
}
}
}
// Se chegou aqui, credenciais inválidas
response.sendRedirect("login.jsp?erro=credenciais");
Observações importantes:
- Sempre use PreparedStatement para evitar injeção SQL
- Nunca armazene senhas em texto puro no banco
- Considere usar um pool de conexões para melhor performance
- Trate adequadamente exceções SQL
A consulta real ao banco torna o sistema muito mais flexível, permitindo cadastro de novos usuários sem alterar o código da aplicação.
Dica: Session Fixation e Segurança
Session Fixation é um tipo de ataque onde um invasor fixa um ID de sessão conhecido para um usuário antes dele se autenticar. Após a autenticação, o invasor pode usar o ID fixado para sequestrar a sessão.
Para proteger contra esse tipo de ataque, sempre crie uma nova sessão após a autenticação bem-sucedida:
// No LoginServlet, após validar credenciais:
// Invalida a sessão antiga
session.invalidate();
// Cria uma nova sessão
session = request.getSession(true);
// Armazena os dados do usuário na nova sessão
session.setAttribute("usuarioLogado", username);
session.setAttribute("autenticado", true);
Outras práticas recomendadas para segurança de sessão:
- Use HTTPS para toda a aplicação, especialmente login
- Configure cookies de sessão como HttpOnly e Secure
- Implemente timeout apropriado para sessões
- Registre tentativas de login fracassadas
- Considere verificação de IP ou fingerprint do navegador
Desafio Prático: Logout
Vamos implementar um botão de logout em nossa aplicação. Primeiro, crie um link na área restrita que aponte para o LogoutServlet:
<!-- areaRestrita.jsp -->
<%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Área Restrita</title>
</head>
<body>
<h1>Bem-vindo à Área Restrita</h1>
<p>
Olá, ${sessionScope.usuarioLogado}!
Você está autenticado.
</p>
<div>
<a href="conteudoProtegido.jsp">Conteúdo Protegido</a>
</div>
<div>
<a href="logout">Sair do Sistema</a>
</div>
</body>
</html>
Exercícios para praticar:
- Implemente o LogoutServlet conforme visto anteriormente
- Teste o processo de logout clicando no link "Sair do Sistema"
- Verifique se, após o logout, tentar acessar areaRestrita.jsp redireciona para login.jsp
- Crie um teste para verificar a expiração automática:
- Configure um tempo curto de sessão (ex: 1 minuto)
- Faça login e aguarde o tempo configurado
- Tente acessar uma página restrita e observe o redirecionamento
Debugging: Acompanhando Sessão via JSESSIONID
As ferramentas de desenvolvedor do navegador são essenciais para debugar problemas de sessão. Aprenda a monitorar o cookie JSESSIONID:
- Abra as ferramentas de desenvolvedor (F12 na maioria dos navegadores)
- Navegue até a aba "Application" (Chrome) ou "Storage" (Firefox)
- Expanda "Cookies" e selecione o domínio da sua aplicação
- Localize o cookie JSESSIONID e observe seu valor
O valor do JSESSIONID deve permanecer o mesmo durante toda a sessão. Se ele mudar após um redirecionamento, isso indica que uma nova sessão foi criada, possivelmente perdendo os dados armazenados anteriormente.
Você também pode imprimir informações úteis da sessão em uma página JSP para debugging:
<h3>Informações da Sessão (Debug)</h3>
<p>ID da Sessão: <%= session.getId() %></p>
<p>Criada em: <%= new java.util.Date(session.getCreationTime()) %></p>
<p>Último acesso: <%= new java.util.Date(session.getLastAccessedTime()) %></p>
<p>Tempo máximo inativo: <%= session.getMaxInactiveInterval() %> segundos</p>
<p>Usuário logado: <%= session.getAttribute("usuarioLogado") %></p>