安科网

Tomcat源码系列5--Tomcat的Session生成和管理1

骑着猪猪去拍拖

骑着猪猪去拍拖

2011-03-23

关注 关注

本次主要谈一下Tomcat中Session的生成和管理情况。

一.       关于Sessincookie

session被用于表示一个持续的连接状态,在网站访问中一般指代客户端浏览器的进程从开启到结束的过程。

session的常见实现形式有两种:

1.     会话cookie:即未设置过期时间的cookie,这个cookie的默认生命周期为浏览器会话期间,只要关闭浏览器窗口,cookie就消失了。

2.     持久cookie:是指存放于客户端硬盘中的 cookie信息(设置了一定的有效期限),它不会随着浏览器的关闭而消失。

实现机制是当用户发起一个请求的时候,服务器会检查该请求中是否包含sessionid,如果未包含,则系统会创造一个名为JSESSIONID的输出cookie返回给浏览器,并将其以HashTable的形式写到服务器的内存里面; 当已经包含sessionid是,服务端会检查找到与该session相匹配的信息,如果存在则直接使用该sessionid,若不存在则重新生成新的session。

二. Session的生成

1.当tomcat处理请求时会调用org.apache.catalina.connector.CoyoteAdapter.service()方法。

(org.apache.catalina.connector.CoyoteAdapter.service) 
public void service(org.apache.coyote.Request req, 
                    org.apache.coyote.Response res) 
        throws Exception { 
        ……//此处省略一部分代码 
        try { 

           
            if ( postParseRequest(req, request, res, response) ) { 
  
                connector.getContainer().getPipeline().getFirst().invoke(request, response); 
            } 

            response.finishResponse(); 
            req.action( ActionCode.ACTION_POST_REQUEST , null); 

        } catch (IOException e) { 
            ; 
        } catch (Throwable t) { 
            log.error(sm.getString("coyoteAdapter.service"), t); 
        } finally { 

            request.recycle(); 
            response.recycle(); 
        } 
    }

 

此时CoyoteAdapter.service()方法会调用postParseRequest()方法。

2.postParseRequest()方法会分别调用parseSessionId(),parseSessionCookiesId()两个方法对JSessionid进行解析。

org.apache.catalina.connector.CoyoteAdapter.postParseRequest() 
protected boolean postParseRequest(org.apache.coyote.Request req, 
                               Request request, 
                               org.apache.coyote.Response res, 
   Response response) 
        throws Exception { 

        //此处省略部分代码 

        // 解析session Id 
        parseSessionId(req, request);§2.1 

//此处省略部分代码 

        // 解析session Id 
        parseSessionCookiesId(req, request); §2.2 

        return true; 
    }

 

§2.1

从URL中读取sessionID。

(org.apache.catalina.connector.CoyoteAdapter.parseSessionId) 
protected void parseSessionId(org.apache.coyote.Request req, Request request) { 

        CharChunk uriCC = req.decodedURI().getCharChunk(); 
         // 判断URL中是否有“;jsessionid=”这个字符串 
        int semicolon = uriCC.indexOf(match, 0, match.length(), 0); 

        if (semicolon > 0) { 

            // 解析 session ID,并从URL中提取它 
            int start = uriCC.getStart(); 
            int end = uriCC.getEnd(); 

            int sessionIdStart = start + semicolon + match.length(); 
            int semicolon2 = uriCC.indexOf(';', sessionIdStart); 
            if (semicolon2 >= 0) { 
                request.setRequestedSessionId 
                    (new String(uriCC.getBuffer(), sessionIdStart, 
                                semicolon2 - semicolon - match.length())); 
            } else { 
                request.setRequestedSessionId 
                    (new String(uriCC.getBuffer(), sessionIdStart, 
                                end - sessionIdStart)); 
            } 
            request.setRequestedSessionURL(true); 

            //从请求的URL中提取session ID 
            ByteChunk uriBC = req.requestURI().getByteChunk(); 
            start = uriBC.getStart(); 
            end = uriBC.getEnd(); 
            semicolon = uriBC.indexOf(match, 0, match.length(), 0); 

            if (semicolon > 0) { 
                sessionIdStart = start + semicolon; 
                semicolon2 = uriCC.indexOf 
                    (';', start + semicolon + match.length()); 
                uriBC.setEnd(start + semicolon); 
                byte[] buf = uriBC.getBuffer(); 
                if (semicolon2 >= 0) { 
                    for (int i = 0; i < end - start - semicolon2; i++) { 
                        buf[start + semicolon + i] 
                            = buf[start + i + semicolon2]; 
                    } 
                    uriBC.setBytes(buf, start, semicolon 
                                   + (end - start - semicolon2)); 
                } 
            } 

        } else { 
            request.setRequestedSessionId(null); 
            request.setRequestedSessionURL(false); 
        } 

    }

 

§2.2

从Cookie中读取sessionID。

(org.apache.catalina.connector.CoyoteAdapter.parseSessionCookiesId)
protected void parseSessionCookiesId(org.apache.coyote.Request req, Request request) { 

        // 从cookie中解析session ID 
        Cookies serverCookies = req.getCookies(); 
        int count = serverCookies.getCookieCount(); 
        if (count <= 0) 
            return; 
        for (int i = 0; i < count; i++) { 
            ServerCookie scookie = serverCookies.getCookie(i); 
            if (scookie.getName().equals(Globals.SESSION_COOKIE_NAME)) { 
                     //重写URL中的任何请求 
                if (!request.isRequestedSessionIdFromCookie()) { 
                    // 只接受第一个session ID的Cookie 
                    request.setRequestedSessionId 
                        (scookie.getValue().toString()); 
                    request.setRequestedSessionCookie(true); 
                    request.setRequestedSessionURL(false); 
                    if (log.isDebugEnabled()) 
                        log.debug(" Requested cookie session id is " + 
                            request.getRequestedSessionId()); 
                } else { 
                    if (!request.isRequestedSessionIdValid()) { 
                        //替换,直到一个会话ID是有效的 
                        request.setRequestedSessionId 
                            (scookie.getValue().toString()); 
                    }}}}}

当parseSessionId()、parseSessionCookiesId()两个方法调用结束后,postParseRequest方法也调用结束,此时session ID的获取过程结束,下一步程序会根据session ID来得到session。

3.当要生成一个session对象时,getSession(booleancreate)方法将提高调用。

(org.apache.catalina.connector.Request.getSession(boolean create)) 
public HttpSession getSession(boolean create) { 
        Session session = doGetSession(create); 
        if (session != null) { 
            return session.getSession(); 
        } else { 
            return null; 
        } 
    }

 

4.Request#doGetSession被调用,方法就sessionid进行查找,查找成功则返回session对象,查找不成功就创建一个新的session对象,并在响应客户请求时创建sessionCookie发给至客户端。

(org.apache.catalina.connector.Request.doGetSession(boolean create)) 
protected Session doGetSession(boolean create) { 
        //context不存在就直接返回null 
        if (context == null) 
            return (null); 
        //判断session是否有效 
        if ((session != null) && !session.isValid()) 
            session = null; 
        if (session != null) 
            return (session); 

        //如果存在和有效返回请求的session 
        Manager manager = null; 
        if (context != null) 
            manager = context.getManager(); 
        if (manager == null) 
            return (null);      // Sessions 不被支持 

         // 判断是否有SessionID 
        if (requestedSessionId != null) { 
            try { 
// 在manager中根据sessionid查找session 
                session = manager.findSession(requestedSessionId);※1 
            } catch (IOException e) { 
                session = null; 
            } 
            if ((session != null) && !session.isValid()) 
                session = null; 
            if (session != null) { 
                 //更新访问时间 
                session.access(); 
                return (session); 
            } 
        } 

        // 如果请求和响应没有被提交就创建一个新的session 
        if (!create) 
            return (null); 
        if ((context != null) && (response != null) && 
            context.getCookies() && 
            response.getResponse().isCommitted()) { 
            throw new IllegalStateException 
              (sm.getString("coyoteRequest.sessionCreateCommitted")); 
        } 

        session = manager.createSession();※2 

        //根据session创建一个新的session Cookie 
        if ((session != null) && (getContext() != null) 
               && getContext().getCookies()) { 
            Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, 
                                       session.getId()); 
         // 配置Session Cookie 
            configureSessionCookie(cookie); 
         // 在响应中加入Session Cookie 
            response.addCookie(cookie); 
        } 

        if (session != null) { 
           //更新访问时间 
            session.access(); 
            return (session); 
        } else { 
            return (null); 
        } 

    }

 

※1

根据传过来的id参数对session进行查找,查找即返回session对象,若没查找到就创建一个新的session对象。

(org.apache.catalina.session.ManagerBase.findSession(String id)) 
public Session findSession(String id) throws IOException { 

        if (id == null) 
            return (null); 
        synchronized (sessions) { 
            Session session = (Session) sessions.get(id); 
            return (session); 
        } 

    }

 

※2

ManagerBase#createSession()被调用,创建一个新的session。

(org.apache.catalina.session.ManagerBase.createSession()) 
public Session createSession() { 

        //回收或创建一个session实例 
        Session session = createEmptySession(); 

        //初始化新session的属性并返回 

        session.setNew(true); 
        session.setValid(true); 
        session.setCreationTime(System.currentTimeMillis()); 
        session.setMaxInactiveInterval(this.maxInactiveInterval); 
        String sessionId = generateSessionId(); 
        session.setId(sessionId); 
        sessionCounter++; 

        return (session); 

    }

未完待续,下面谈一谈Session管理方面的内容。 

session cookie 网站源码 response apache

骑着猪猪去拍拖

骑着猪猪去拍拖

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

python中requests模拟登录的三种方式(携带cookie/session进行请求网站)

session是在cookie的基础上,服务端设置session时会向浏览器发送设置一个设置cookie的请求,这个cookie包括session的id当访问服务端时带上这个session_id就可以获取到用户保存在服务端对应的session. 到此这篇关

houmenghu 2020-11-17

上网如何保存记录?你要知道Session和Cookie的关系

为什么要用Session和Cookie?简单一句话,因为Session和Cookie可以记录用户状态信息。嘶..这到底啥意思呢?HTTP协议对事务处理是没有记忆能力,也就是说服务器不知道客户端是什么状态。只需要在下次请求时携带这些Cookie,服务器就能通

jincheng 2020-09-01

前端登录,这一篇就够了

登录是每个网站中都经常用到的一个功能,在页面上我们输入账号密码,敲一下回车键,就登录了,但这背后的登录原理你是否清楚呢?今天我们就来介绍几种常用的登录方式。为了解决 HTTP 无状态的问题,Lou Montulli 在 1994 年的时候,推出了 Cook

阳光之吻 2020-08-03

Flask之session

session是建立在Cookies基础上的技术,用于flask中存储不同请求间用户的信息,要使用session你必须设置一个secret_key,用于对Cookies进行密钥签名。from flask import Flask, render_templ

hzyuhz 2020-07-04

Session和Cookie的区别

协议,是指计算机通信网络中两台计算机之间进行通信所必须共同遵守的规定或规则,超文本传输协议是一种通信协议,它允许将超文本标记语言文档从Web服务器。HTTP协议是无状态的协议。服务器检查该Cookie,以此来辨认用户状态。若不设置过期时间,则表示这个coo

服务器端攻城师 2020-06-26

golang之JWT实现的示例代码

JSON Web Token是一个开放标准,它定义了一种紧凑且自包含的方式,用于在各方之间以JSON方式安全地传输信息。由于此信息是经过数字签名的,因此可以被验证和信任。可以使用秘密或使用RSA或ECDSA的公钥/私钥对对JWT进行签名。直白的讲jwt就是

xuanwenchao 2020-06-14

Requests 设置cookies方式

cookies_value = {‘name1‘: ‘value1‘,  path表示cookie所在的目录,asp.net默认为/,就是根目录。这是因为cookie能让其path路径下的页面访问。  浏览器会将domain和path都相同的cookie保

Lophole 2020-06-13

Django框架11

# 校验字段和钩子函数的执行。# 报错提示 其实可以有两种方式。python源码里面使用最频繁的其实就是反射。cookie与session(非常重要!!!!!!!!# 由于http协议是无状态的。cookie虽然是服务端设置的但是浏览器可以选择不保存。存储

明瞳 2020-06-08

Django Session管理

Session是存储在服务器端的用户凭证,安全性比Cookie要高,Django是将Session信息存放在Cookie里面。用户一旦禁用Cookie,就不能用了。Session不光可以存储在Cookie里面,如果前端将其存储在页面中,作为全局变量,每次发

Dreamya 2020-06-03

Shiro+JWT 实现权限管理(二)--JWT

上篇文章提及到了JWT,以及为什么使用Token,这篇文章就围绕JWT展开论述吧.服务端验证登录信息是否正确,如果正确就在服务器端为这个用户创建一个 Session,并把 Session 存入数据库。客户端接收到服务器端发来的请求之后,看见响应头中的 Se

SoarFly00 2020-06-03

19.负载均衡健康检查模块与源码安装Nginx

你们公司的会话保持怎么做的?# 开发没有做会话保持,我们通过运维的方式做会话保持,nginx的upstream模块中的ip_hash调度算法,保证用户的请求一直发送到同一台机器。cookie是后端服务器,传给浏览器的一段字符串,作用是用来记录用户登录的状态

咻咻ing 2020-06-01

2019-2020-2 网络对抗技术 20175213吕正宏 Exp9 Web安全基础

本实践的目标理解常用网络攻击技术的基本原理,做不少于7个题目,共3.5分。Webgoat实践下相关实验。应用程序会将输入带入后台的SQL查询语句,后台数据库将其认作正常SQL指令后正常执行,可能实现对后台数据库进行各种操作,甚至造成破坏后台数据库等严重后果

三动 2020-05-29

MongoDB数据库用户角色和权限管理详解

使用终端命令行输入 mongo 登陆 mongodb 之后切换到 admin 库,并认证后可查看所有数据库,操作如下所示:。Implicit session: session { "id" : UUID }. 说明:1 表示认证成功,0

我心似明月 2020-11-09

oracle锁表该如何解决

where l.object_id = o.object_id and l.session_id=s.sid;如果杀不掉可以加个 immediate 立即杀掉 试试;如果利用上面的命令杀死一个进程后,进程状态被置为"killed",但是

oraclemch 2020-11-06

聊聊MySQL中的参数

在前面一些文章中,经常能看到介绍某某参数的作用,可能有些小伙伴仍搞不清楚 MySQL 参数是啥。我们所说的参数在官方文档中称为 系统变量,不同的变量有着不同的作用。MySQL 服务端维护了许多表示其配置的系统变量,所有变量均有默认值。若会话变量未单独设置,

ltd00 2020-09-12

Mysql临时表及分区表区别详解

内存表,指的是使用Memory引擎的表,建表语法是create table …这种 表的数据都保存在内存,系统重启的时候会被清空,但是表结构还在。除这两个特性看 上去比较“奇怪”外,从其他的特征上看,它就是一个正常的表。如果是使用InnoDB引擎或者MyI

康慧欣 2020-09-10

MySQL 参数相关概念及查询更改方法

在前面一些文章中,经常能看到介绍某某参数的作用,可能有些小伙伴仍搞不清楚 MySQL 参数是啥。我们所说的参数在官方文档中称为 系统变量 ,不同的变量有着不同的作用。MySQL 服务端维护了许多表示其配置的系统变量,所有变量均有默认值。若会话变量未单独设置

waveclouds 2020-09-04

Golang Http 验证码示例实现

验证码是“Completely Automated Public Turing test to tell Computers and Humans Apart”的缩写,是一种区分用户是计算机还是人的公共全自动 程序 。由于计算机无法解答CAPTCHA的问题

蓝色深海 2020-09-15

程序员过关斩将--解决分布式session问题

session说到 session,我相信每个程序员都不陌生,或多或少在项目中使用过。session 这个词,其实是一个抽象的概念,它不像 Cookie 那样有着明确的定义。当大多数程序员谈论 session 的时候,可能指的是服务端存储数据的 sess

思君夜未眠 2020-08-25

SpringBoot如何使用WebSocket实现前后端交互?

我们都知道http协议只能在浏览器单方面向服务器发起请求时获得响应,然而服务器不能主动向浏览器推送消息,想要实现浏览器的主动推送目前有两种主流的实现方式:。springboot使用websocket有两种方式,一种是实现简单的websocket,另外一种是

取个好名字真难 2020-08-06
骑着猪猪去拍拖

骑着猪猪去拍拖

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号