当前位置 主页 > 网站技术 > 代码类 >

    Tomcat中的Session与Cookie深入讲解

    栏目:代码类 时间:2019-09-16 13:11

    前言

    HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。本文首发于公众号顿悟源码.

    解决办法就是使用 Cookie,它由服务器返回给浏览器,浏览器缓存并在每次请求时将 cookie 数据提交到服务器。Cookies 在请求中以明文传输,且大小限制 4KB,显然把所有状态数据保存在浏览器是不靠谱的,主流做法是:

    浏览器发出第一个请求时,服务器为用户分配一个唯一标识符,返回并存入浏览器的 Cookies 中 服务器内部维护一个全局的请求状态库,并使用生成的唯一标识符关联每个请求的状态信息 浏览器后续发出的请求,都将唯一标识符提交给服务器,以便获取之前请求的状态信息

    为了方便管理,服务器把整个过程称为会话,并抽象成一个 Session 类,用于识别和存储有关该用户的信息或状态。
    接下来,将通过会话标识符的解析和生成,Session 的创建、销毁和持久化等问题,分析 Tomcat 的源码实现,版本使用的是 6.0.53。

    1. 解析会话标识符

    Cookie 作为最常用的会话跟踪机制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存储会话标识符的 cookie 的标准名字是 JSESSIONID。

    如果如果浏览器不支持 Cookie,也可以使用以下办法,记录标识符:

    URL 重写: 作为路径参数包含到 url 中,如 /path;JSESSIONID=xxx URL 请求参数: 将会话唯一标识作为查询参数添加到页面所有链接中,如 /path?JSESSIONID=xxx FORM 隐藏字段: 表单中使用一个隐藏字段存储唯一值,随表单提交到服务器

    Tomcat 就实现了从 URL 重写路径和 Cookie 中提取 JSESSIONID。在分析源码之前,首先看下设置 Cookie 的响应和带 Cookie 的请求它们头域的关键信息:

    // 设置 CookieHTTP/1.1 200 OKServer: Apache-Coyote/1.1Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examplesDate: Sun, 12 May 2019 01:40:35 GMT// 提交 CookieGET /examples/servlets/servlet/SessionExample HTTP/1.1Host: localhost:8080Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91

    1.1 从 URL 重写路径

    一个包含会话 ID 路径参数的 URL 如下:

    http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x

    简单来看就是查找匹配分号和最后一个斜线之间的 JSESSIONID,事实也是如此,只不过 Tomcat 操作的是字节,核心代码在 CoyoteAdapter.parsePathParameters() 方法,这里不在贴出。

    1.2 从 Cookie 头域

    触发 Cookie 解析的方法调用如下:

    CoyoteAdapter.service(Request, Response)└─CoyoteAdapter.postParseRequest(Request, Request, Response, Response) └─CoyoteAdapter.parseSessionCookiesId(Request, Request) └─Cookies.getCookieCount() └─Cookies.processCookies(MimeHeaders) └─Cookies.processCookieHeader(byte[], int, int)

    这个 processCookieHeader 操作的是字节,解析看起来不直观,在 Tomcat 内部还有一个被标记废弃的使用字符串解析的方法,有助于理解,代码如下:

    private void processCookieHeader( String cookieString ){ // 多个 cookie 值以逗号分割 StringTokenizer tok = new StringTokenizer(cookieString, ";", false); while (tok.hasMoreTokens()) {  String token = tok.nextToken();  // 获取等号的位置  int i = token.indexOf("=");  if (i > -1) {   // 获取name 和 value 并去除空格   String name = token.substring(0, i).trim();   String value = token.substring(i+1, token.length()).trim();   // RFC 2109 and bug 去除两头的双引号 "   value=stripQuote( value );   // 从内部 cookie 缓存池中获取一个 ServerCookie 对象   ServerCookie cookie = addCookie();   // 设置 name 和 value   cookie.getName().setString(name);   cookie.getValue().setString(value);  } else {   // we have a bad cookie.... just let it go  } }}