设为首页 - 加入收藏 铜仁站长网 (http://www.0856zz.com)- 国内知名站长资讯网站,提供最新最全的站长资讯,创业经验,网站建设等!
热搜: 系统 为什么 什么 公司
当前位置: 首页 > 亚博体育娱乐平台网站 > 外闻 > 正文

Tomcat 中的 Session 和 Cookie的爱恨情仇

发布时间:2019-05-16 03:49 所属栏目:[外闻] 来源:顿悟源码
导读:HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。 解决办法就是使用 Cookie

HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。

Tomcat 中的 Session 和 Cookie的爱恨情仇

解决办法就是使用 Cookie,它由服务器返回给浏览器,浏览器缓存并在每次请求时将 cookie 数据提交到服务器。Cookies 在请求中以明文传输,且大小限制 4KB,显然把所有状态数据保存在浏览器是不靠谱的,主流做法是:

  • 浏览器发出第一个请求时,服务器为用户分配一个唯一标识符,返回并存入浏览器的 Cookies 中
  • 服务器内部维护一个全局的请求状态库,并使用生成的唯一标识符关联每个请求的状态信息
  • 浏览器后续发出的请求,都将唯一标识符提交给服务器,以便获取之前请求的状态信息

为了方便管理,服务器把整个过程称为会话,并抽象成一个 Session 类,用于识别和存储有关该用户的信息或状态。

接下来,将通过会话标识符的解析和生成,Session 的创建、销毁和持久化等问题,分析 Tomcat 的源码实现,版本使用的是 6.0.53。

1. 解析会话标识符

Cookie 作为最常用的会话跟踪机制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存储会话标识符的 cookie 的标准名字是 JSESSIONID。

如果如果浏览器不支持 Cookie,也可以使用以下办法,记录标识符:

  • URL 重写: 作为路径参数包含到 url 中,如 /path;JSESSIONID=xxx
  • URL 请求参数: 将会话唯一标识作为查询参数添加到页面所有链接中,如 /path?JSESSIONID=xxx
  • FORM 隐藏字段: 表单中使用一个隐藏字段存储唯一值,随表单提交到服务器

Tomcat 就实现了从 URL 重写路径和 Cookie 中提取 JSESSIONID。在分析源码之前,首先看下设置 Cookie 的响应和带 Cookie 的请求它们头域的关键信息:

  1. //?设置?Cookie?
  2. HTTP/1.1?200?OK?
  3. Server:?Apache-Coyote/1.1?
  4. Set-Cookie:?JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91;?Path=/examples?
  5. Date:?Sun,?12?May?2019?01:40:35?GMT?
  6. ?
  7. //?提交?Cookie?
  8. GET?/examples/servlets/servlet/SessionExample?HTTP/1.1?
  9. Host:?localhost:8080?
  10. Cookie:?JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91?

1.1 从 URL 重写路径

一个包含会话 ID 路径参数的 URL 如下:

  1. http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x?

简单来看就是查找匹配分号和最后一个斜线之间的 JSESSIONID,事实也是如此,只不过 Tomcat 操作的是字节,核心代码在 CoyoteAdapter.parsePathParameters() 方法,这里不在贴出。

1.2 从 Cookie 头域

触发 Cookie 解析的方法调用如下:

  1. CoyoteAdapter.service(Request,?Response)?
  2. └─CoyoteAdapter.postParseRequest(Request,?Request,?Response,?Response)?
  3. ?└─CoyoteAdapter.parseSessionCookiesId(Request,?Request)?
  4. ??└─Cookies.getCookieCount()?
  5. ???└─Cookies.processCookies(MimeHeaders)?
  6. ????└─Cookies.processCookieHeader(byte[],?int,?int)?

这个 processCookieHeader 操作的是字节,解析看起来不直观,在 Tomcat 内部还有一个被标记废弃的使用字符串解析的方法,有助于理解,代码如下:

  1. private?void?processCookieHeader(??String?cookieString?){?
  2. ??//?多个?cookie?值以逗号分割?
  3. ??StringTokenizer?tok?=?new?StringTokenizer(cookieString,?";",?false);?
  4. ??while?(tok.hasMoreTokens())?{?
  5. ????String?token?=?tok.nextToken();?
  6. ????//?获取等号的位置?
  7. ????int?i?=?token.indexOf("=");?
  8. ????if?(i?>?-1)?{?
  9. ??????//?获取name?和?value?并去除空格?
  10. ??????String?name?=?token.substring(0,?i).trim();?
  11. ??????String?value?=?token.substring(i+1,?token.length()).trim();?
  12. ??????//?RFC?2109?and?bug?去除两头的双引号?"?
  13. ??????value=stripQuote(?value?);?
  14. ??????//?从内部?cookie?缓存池中获取一个?ServerCookie?对象?
  15. ??????ServerCookie?cookie?=?addCookie();?
  16. ??????//?设置?name?和?value?
  17. ??????cookie.getName().setString(name);?
  18. ??????cookie.getValue().setString(value);?
  19. ????}?else?{?
  20. ??????//?we?have?a?bad?cookie....?just?let?it?go?
  21. ????}?
  22. ??}?
  23. }?

解析完毕,接下来就是在 parseSessionCookiesId 方法遍历并尝试匹配名称为 JSESSIONID 的 Cookie,如果存在,则将其值设为 Request 的 requestedSessionId,与内部的一个 Session 对象关联。

2. 生成会话 Cookie

【免责声明】本站内容转载自互联网,其相关言论仅代表作者个人观点绝非权威,不代表本站立场。如您发现内容存在版权问题,请提交相关链接至邮箱:bqsm@foxmail.com,我们将及时予以处理。

网友评论
推荐文章