Java Session 是如何实现的

By | 02月04日
Advertisement

这几天研究了下java 中Session的实现方式,在javaeye上看了一篇不错的帖子,对我的帮助很大,buaawhl 回答的很详细,地址为:http://www.iteye.com/topic/10452#57430。
后来经过自己的研究,发现url重写部分,说明的不是太准确,本想回帖说明,但是发现帖子已被锁定,现写一篇blog补充之...
将buaawhl 回答引用如下:

HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。
服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。
我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。
这里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾客,作为取包凭证(这个号码牌就是Session ID)。顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP Response)都要重新提醒顾客记住自己的号码牌(Session ID)。这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。
我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。

我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/)。这里只做一个简单的介绍。
在Java Web Server(即Servlet/JSP Server)中,Session ID用jsessionid表示(请参见Servlet规范)。
HTTP Request一般由3部分组成:
(1)Request Line
这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。
例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1
GET http://www.google.com/search?q=Tomcat HTTP/1.1
POST http://www.google.com/search HTTP/1.1
GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1

(2)Request Headers 这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如:
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001

(3)Message Body 如果HTTP Method是GET,那么Message Body为空。
如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,
那么Message Body为HTML Form里面定义的Input属性。例如,
user=guest
password=guest
jsessionid=1001
主意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于
http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001

从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。
一般用来实现Session的方法有两种:
(1)URL重写。
Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。
下一次,用户访问这个页面中的URL。jsessionid就会传回到Web Server。
(2)Cookie。
如果客户端支持Cookie,Web Server在返回Response的时候,在Response的Header部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。
客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。

我们来看Tomcat5的源代码如何支持jsessionid。
org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。
String toEncoded(String url, String sessionId) {

StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can't be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}

我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie()
doGetSession()用Cookie支持jsessionid.

/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {

}

HttpSession doGetSession(boolean create){

// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}

}

Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证

对URL重写部分的补充说明:
在 tomcat6.0的源代码中自带的一个例子:SessionExample类 很好的解释了这个问题

在这个例子中有一段代码是这样的

out.println("<P>GET based form:<br>");
out.print("<form action=\"");
out.print(response.encodeURL("SessionExample"));
        out.print("\" ");
        out.println("method=GET>");
        out.println(rb.getString("sessions.dataname"));
        out.println("<input type=text size=20 name=dataname>");
        out.println("<br>");
        out.println(rb.getString("sessions.datavalue"));
        out.println("<input type=text size=20 name=datavalue>");
        out.println("<br>");
        out.println("<input type=submit>");
        out.println("</form>");

        out.print("<p><a href=\"");
    out.print(response.encodeURL("SessionExample?dataname=foo&datavalue=bar"));
    out.println("\" >URL encoded </a>");

我要说明的几点:
第一:web server 不会自动对所有的链接进行检查,然后进行url重写。
我们必须自己判断要对那些url进行重写,如一些图片的链接没有必要进行url重写的。
第二:web server 只有在必要的情况下才会对url重写,如:必须是合法的url;验证从cookie中无法取到session;等情况,具体可以参考tomcat6.0 org.apache.catalina.connector.Response 类的encodeURL方法。

Similar Posts:

  • 使用xmlhttp和Java session监听改善站内消息系统

    这个题目含有许多需要解释的概念,最容易说明的是"站内消息",这是很多论坛都有的功能,可以通过web向其他的在线用户发送消息,很多用户都使用过.站内消息的第一个好处是大家都不需要安装客户端,你不用知道对方的MSN或者QQ,就能与他联系,称赞他的观点或者是给他一顿臭骂.第二个好处是客户管理方便,利用session来维护在线名单,各种脚本都已经把session操作封装得很易用了,不用像其他无状态的即时通信工具(比如使用UDP通信的工具)一样,要费一些脑细胞来解决在线名单的问题.缺点嘛,就是实

  • java session 相关 [整合]

    本文包含4个小部分内容,都来源于互联网的,在此一并综合,让我们建立起JAVA session 的一个概貌和初步认识. 1. session和request的区别 说简单点 request对象和session对象的最大区别是生命周期 request对象的生命周期是针对一个客户端(说确切点就是一个浏览器应用程序)的一起请求 当请求完毕之后,request里边的内容也将被释放点 而session的生命周期也是针对一个客户端 但是却是在别人设置的会话周期内(一般是20-30分钟) session里边的内

  • java Session生命周期讨论

    Session生命周期讨论 Session生命周期用户退出时间序列化 文章级别:Java初级 预备技能点:JSP内置对象, 监听器, 序列化 在程序开发的时候, request session appplication内置对象, 是用的比较多的. request和appliction比较简单, 一个代表一次请求的生命周期. 另一个代表应用程序的生命周期. 多说一点application是单态模式. 在任何地方打印application内置对象,得到的是同一个地址. 因此可以存储程序的公共变量,而

  • java session.getSession(),session.getSession(true),session.getSession(false);

    getSession()/getSession(true):当session存在时返回该session,否则新建一个session并返回该对象 getSession(false):当session存在时返回该session,否则不会新建session,返回null

  • java怎么使用session或cookie记录当前浏览网页的地址,并能在登陆后直接返回到该页面

    java如何使用session或cookie记录当前浏览网页的地址,并能在登陆后直接返回到该页面? java如何使用session或cookie记录当前浏览网页的地址,并能在登陆后直接返回到该页面? Java session Cookie 分享到: ------解决方案-------------------- /** * 获取完整的URL * @param request * @return */ public static String getRequestURL(HttpServletReq

  • 基于LNMT的Session持久机制的多种方案实现及深入分析

    1. Session机制 Session就是会话,就是指的是对话双方或者交互双方建立的信息通道,从建立连接到断开连接的整个过程,称为一个会话.它是一种网络持久化的机制. HTTP协议是一种无状态协议,客户端和服务器建立连接传输完数据后即断开连接,客户端再次发起连接后,服务器端无法知道这个连接是否和上一个连接有什么关系,它只能认为是不同的连接. 为了解决这个问题,一般采用的方法有两种: 客户端保持,即cookie机制 服务器端保持,即session机制.为了保持这个状态信息,它要让客户端至少保留一

  • 在关闭页面时自动清除Session cookie,页面缓存

    在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息. 清除session对象内容的主要方法如下: (1).removeAttribute()方法.该方法是用来删除session对象中保存的指定属性信息. 例如:session.setAttribute("name", "iverson");session.removeAttribute(&qu

  • Oracle 查看 session 当前统计信息 脚本 说明

    Oracle 查看 session 当前统计信息 脚本 说明 http://blog.csdn.net/tianlesoftware/article/details/7689450 一.相关说明 当我们在一个session 上进行事务操作时,如果我们想查看这个事务的相关统计信息,那么可以通过v$mystat ,v$sysstat, v$sesstat, v$statname 字典来查看. 在Oracle 11g中,通过这2个视图,我么可以查看到588个相关的统计信息. [sql] view pl

  • 在 IBM Lotus Domino Designer 中使用 Java 构建应用程序

    简介 对于 IBM Lotus Notes 应用程序开发人员来说,LotusScript 和 LotusScript 类在设计 Notes 应用程序时很有用.LotusScript API 支持以编程方式与数据库.文档,甚至设计元素进行交互.随着 Java 发展成为主流编程语言,原来越多的 Notes 应用程序开发人员开始将目光投向 Java. 本文面向那些想要在 IBM Lotus Domino 中使用 Java 进行编程的 LotusScript 开发人员.假定读者具有一定的 LotusSc

  • 菜鸟学Android笔记(三十九):Session入门_Session原理

    这是三十九篇,三十八篇由于时间问题以后补上,三十八篇主要是写一个Cookie的案例,叫做"最后看过的书" 一.Session概述 Session是为了实现会话的一种服务器端的技术. 1.作用范围 session是一个域? 什么是域? 这是JSP的一个知识点 详情请看这两个文章: http://www.jb51.net/article/35875.htm http://www.educity.cn/wenda/70080.html 简单来说就是这个对象作用的范围,能把信息共享的区域 se

Tags: