`
- 浏览:
15112 次
-
这几天研究了下java 中Session的实现方式,在javaeye上看了一篇不错的帖子,对我的帮助很大,buaawhl 回答的很详细,地址为:http://www.iteye.com/topic/10452#57430。后来经过自己的研究,发现url重写部分,说明的不是太准确,本想回帖说明,但是发现帖子已被锁定,现写一篇blog补充之...将buaawhl 回答引用如下:HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。这里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾客,作为取包凭证(这个号码牌就是Session
ID)。顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP
Response)都要重新提醒顾客记住自己的号码牌(Session ID)。这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/)。这里只做一个简单的介绍。在Java Web Server(即Servlet/JSP Server)中,Session ID用jsessionid表示(请参见Servlet规范)。HTTP Request一般由3部分组成:(1)Request Line这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1GET http://www.google.com/search?q=Tomcat HTTP/1.1POST http://www.google.com/search HTTP/1.1GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1(2)Request Headers这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request
Headers中还可以包括Cookie的定义。例如:User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)Accept-Language: en-usCookie: jsessionid=1001(3)Message Body如果HTTP Method是GET,那么Message
Body为空。如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,那么Message Body为HTML Form里面定义的Input属性。例如,user=guestpassword=guestjsessionid=1001主意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。一般用来实现Session的方法有两种:(1)URL重写。
Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。
下一次,用户访问这个页面中的URL。jsessionid就会传回到Web Server。(2)Cookie。如果客户端支持Cookie,Web Server在返回Response的时候,在Response的Header部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。我们来看Tomcat5的源代码如何支持jsessionid。org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。String toEncoded(String url, String sessionId) {… StringBuffer sb = new StringBuffer(path); if( sb.length() > 0 ) { // jsessionid can't be first. sb.append(";jsessionid="); sb.append(sessionId); } sb.append(anchor); sb.append(query); return (sb.toString());}我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie()doGetSession()用Cookie支持jsessionid. /** * Configures the given JSESSIONID cookie. * * @param cookie The JSESSIONID cookie to be configured */ protected void configureSessionCookie(Cookie cookie) { … } HttpSession doGetSession(boolean create){ … // Creating a new session cookie based on that session if ((session != null) && (getContext() != null) && getContext().getCookies()) { Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, session.getId()); configureSessionCookie(cookie); ((HttpServletResponse) response).addCookie(cookie); } … }Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证对URL重写部分的补充说明:在 tomcat6.0的源代码中自带的一个例子:SessionExample类 很好的解释了这个问题在这个例子中有一段代码是这样的
-
out.println("<P>GETbasedform:<br>");
-
out.print("<formaction=\"");
-
out.print(response.encodeURL("SessionExample"));
-
out.print("\"");
-
out.println("method=GET>");
-
out.println(rb.getString("sessions.dataname"));
-
out.println("<inputtype=textsize=20name=dataname>");
-
out.println("<br>");
-
out.println(rb.getString("sessions.datavalue"));
-
out.println("<inputtype=textsize=20name=datavalue>");
-
out.println("<br>");
-
out.println("<inputtype=submit>");
-
out.println("</form>");
-
-
out.print("<p><ahref=\"");
-
out.print(response.encodeURL("SessionExample?dataname=foo&datavalue=bar"));
-
out.println("\">URLencoded</a>");
我要说明的几点:第一:web server 不会自动对所有的链接进行检查,然后进行url重写。我们必须自己判断要对那些url进行重写,如一些图片的链接没有必要进行url重写的。第二:web server 只有在必要的情况下才会对url重写,如:必须是合法的url;验证从cookie中无法取到session;等情况,具体可以参考tomcat6.0 org.apache.catalina.connector.Response 类的encodeURL方法。
分享到:
Global site tag (gtag.js) - Google Analytics
相关推荐
JAVA通过Session和Cookie实现网站自动登录的技术
java后台请求http,区分get和post,一般是用来抓取带有登陆权限网站的数据,后台先登录,保持session,再请求数据URL
java实现多次HttpURLConnection共享session,发送两次请求共享同一个session,这样做爬虫的时候就可以爬网站登录后能看到的内容了
java通过session和cookie实现网站的自动登录
Java Webs实验:session购物车实验 1.按课程讲解实现购物车的三个页面,实现在三个页面切换,点击增加购物车,查看购物车,删除购物车功能 2.修改三个页面的内容,将逐个商品增加购物车和删除购物车改为多选增加删除...
本课程系统地讲解了SESSION这个知识点,主要讲解了Session的概念,它是如何产生,如何工作,如何存放和如何消亡的,以及Session在JavaWeb中的体现和操作,在最后用一个小例子来演示了如何通过Servlet来操作Session。...
主要介绍了java设置session过期时间的实现方法,以实例形式详细讲述了具体实现过程,非常具有参考借鉴价值,需要的朋友可以参考下
本资源采用session实现的的java简易购物车,适合初学者查看
JAVA通过Session和Cookie实现网站自动登录的技术.txt
此文档只是用于实现spring redis session共享的文档,并没有其他代码,都是配置,配置加入到spring配置中即可实现session共享,有不懂的可以私信我,有时间会为您解答
spring session分布式session会话管理 分布式系统session的管理
spring session实现session共享
zookeeper分布session式实现
用Session实现用户的登陆,界面的购物存储,显示
重写session机制,默认session是以临时文件形式存储在服务器,将session写入数据库,建表和注释写的都很清晰,已测试
但是该套实现,代码质量非常差(10几个java文件,都快吓晕),并且redis的连接没有基于spring,而是在java代码中硬编码,这几乎无法容忍。 为此,本人基于spring连接redis,吸取了他们文章的思想,重新写了一套解决...
依照文档部署即可实现多服务器多tomcat session共享,jar包中是tomcat7集成所需要的jar包,序列化工具用的是java默认的序列化工具,若要使用其他版本的tomcat或其他的序列化工具,更具文档自己替换jar包即可,附赠...
tomcat-redis实现session共享
Java EJB中有、无状态SessionBean的两个例子,的无状态SessionBean可,会话Bean必须实现SessionBean,获取系统属性,初始化JNDI,取得Home对象的引用,创建EJB对象,计算利息等; 在有状态SessionBean中,用累加...