ITPub博客

首页 > Linux操作系统 > Linux操作系统 > Session实现原理

Session实现原理

原创 Linux操作系统 作者:kunshan2010 时间:2011-04-28 14:19:53 0 删除 编辑

HTTP协议 ( http://www.w3.org/Protocols/  )是一次性单向协议。 服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。 我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。 这里用一个形象的比喻来解释session的工作方式。

假设Web Server是一个商场的存包处,HTTP Request是一个顾客,

n     第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾客,作为取包凭证(这个号码牌就是Session ID)。

n     顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。

n     管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。

n     顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP Response)都要重新提醒顾客记住自己的号码牌(Session ID)。

n     这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP RequestHTTP Response传来传去的。

 我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/  )。这里只做一个简单的介绍。

 Java Web Server(即Servlet/JSP Server)中,Session IDjsessionid表示(请参见Servlet规范)。 HTTP Request一般由3部分组成:

1)        Request Line 这一行由HTTP Method(如GETPOST)、URL、和HTTP版本号组成。 例如,GET http://www.google.com/search?q=Tomcat   HTTP/1.1 POST

2)        Request Headers 这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如: User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Accept-Language: en-us Cookie: jsessionid=1001

3)        Message Body 如果HTTP MethodGET,那么Message Body为空。 如果HTTP MethodPOST,说明这个HTTP Requestsubmit一个HTML Form的结果, 那么Message BodyHTML Form里面定义的Input属性。例如, user=guest password=guest jsessionid=1001 主意,如果把HTML Form元素的Method属性改为GET

那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于 http://www.somesite/login.do?use ... amp;jsessionid=1001  从理论上来说,这3个部分(Request URLCookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session IDHTML Form,所以这种方法不通用

一般用来实现Session的方法有两种:

1)        URL重写。 Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML FormAction属性,在这些URL后面加上“;jsessionid=XXX”。 下一次,用户访问这个页面中的URLjsessionid就会传回到Web Server

2)        Cookie。 如果客户端支持CookieWeb Server在返回Response的时候,在ResponseHeader部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。 客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server

 我们来看Tomcat5的源代码如何支持jsessionid

 org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。

 String toEncoded(String url, String sessionId)

 {

StringBuffer sb = new StringBuffer(path); if( sb.length() > 0 )

{

// jsessionid can't be first. sb.append(";jsessionid="); sb.append(sessionId);

 }

 sb.append(anchor); sb.append(query); return (sb.toString());

}

我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie() doGetSession()Cookie支持jsessionid.

 /** * Configures the given JSESSIONID cookie. * * @param cookie The JSESSIONID cookie to be configured */

 protected void configureSessionCookie(Cookie cookie)

 {

 

 }

 HttpSession doGetSession(boolean create)

{

// Creating a new session cookie based on that session

if ((session != null) && (getContext() != null) && getContext().getCookies())

 {

Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, session.getId()); configureSessionCookie(cookie); ((HttpServletResponse) response).addCookie(cookie);

} …

}

 Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证

 

来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/24435147/viewspace-694000/,如需转载,请注明出处,否则将追究法律责任。

请登录后发表评论 登录
全部评论

注册时间:2010-08-15

  • 博文量
    33
  • 访问量
    128785