Tomcat的Session管理(一) - Session的生成

最新推荐文章于 2020-05-20 16:45:32 发布
最新推荐文章于 2020-05-20 16:45:32 发布
阅读量3.2k 收藏 6
点赞数 2
分类专栏: java web 文章标签: session java
java 同时被 2 个专栏收录
32 篇文章 1 订阅
订阅专栏
web
20 篇文章 0 订阅
订阅专栏

Session对象的创建一般是源于这样的一条语句: 
Session session = request.getSession(false);或者Session session = request.getSession();如果不在乎服务器压力可能多那么一点点的话。 

在Tomcat的实现中,这个request是org.apache.catalina.connector.Request类的包装类org.apache.catalina.connector.RequestFacade的对象,它的两个#getSession()方法如下: 

Java代码   收藏代码
  1. public HttpSession getSession(boolean create) {  
  2.     if (request == null) {  
  3.         throw new IllegalStateException(  
  4.                         sm.getString("requestFacade.nullRequest"));  
  5.     }  
  6.   
  7.     if (SecurityUtil.isPackageProtectionEnabled()){  
  8.         return (HttpSession)AccessController.  
  9.             doPrivileged(new GetSessionPrivilegedAction(create));  
  10.     } else {  
  11.         return request.getSession(create);  
  12.     }  
  13. }  


Java代码   收藏代码
  1. public HttpSession getSession() {  
  2.     if (request == null) {  
  3.         throw new IllegalStateException(  
  4.                         sm.getString("requestFacade.nullRequest"));  
  5.     }  
  6.   
  7.     return getSession(true);  
  8. }  


其实差不太多,最后都会进入org.apache.catalina.connector.Request的#getSession()方法。这个方法的源代码如下: 

Java代码   收藏代码
  1. public HttpSession getSession(boolean create) {  
  2.     Session session = doGetSession(create);  
  3.     if (session != null) {  
  4.         return session.getSession();  
  5.     } else {  
  6.         return null;  
  7.     }  
  8. }  


然后调用就到了#doGetSession()这个方法了。源代码如下 

Java代码   收藏代码
  1. protected Session doGetSession(boolean create) {  
  2.     // 没有Context的话直接返回null  
  3.     if (context == null)  
  4.         return (null);  
  5.   
  6.     // 判断Session是否有效  
  7.     if ((session != null) && !session.isValid())  
  8.         session = null;  
  9.     if (session != null)  
  10.         return (session);  
  11.   
  12.     // 返回Manager对象,这里是StandardManager类的对象  
  13.     Manager manager = null;  
  14.     if (context != null)  
  15.         manager = context.getManager();  
  16.     if (manager == null)  
  17.         return (null); // Sessions are not supported  
  18.     // 判断是否有SessionID  
  19.     if (requestedSessionId != null) {  
  20.         try {  
  21.             // 在Manager中根据SessionID查找Session  
  22.             session = manager.findSession(requestedSessionId);  
  23.         } catch (IOException e) {  
  24.             session = null;  
  25.         }  
  26.         if ((session != null) && !session.isValid())  
  27.             session = null;  
  28.         if (session != null) {  
  29.             // 更新访问时间  
  30.             session.access();  
  31.             return (session);  
  32.         }  
  33.     }  
  34.   
  35.     // 创建新的Session  
  36.     if (!create)  
  37.         return (null);  
  38.     if ((context != null) && (response != null) && context.getCookies()  
  39.             && response.getResponse().isCommitted()) {  
  40.         throw new IllegalStateException(sm.getString("coyoteRequest.sessionCreateCommitted"));  
  41.     }  
  42.   
  43.     // 判断是否使用 "/" 作为Session Cookie的存储路径 并且 是否SessionID来自Cookie  
  44.     if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {  
  45.         // 创建Session  
  46.         session = manager.createSession(getRequestedSessionId());  
  47.     } else {  
  48.         session = manager.createSession(null);  
  49.     }  
  50.   
  51.     // 创建一个新的Session Cookies  
  52.     if ((session != null) && (getContext() != null) && getContext().getCookies()) {  
  53.         Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, session.getIdInternal());  
  54.         // 配置Session Cookie  
  55.         configureSessionCookie(cookie);  
  56.         // 在响应中加入Session Cookie  
  57.         response.addCookieInternal(cookie);  
  58.     }  
  59.   
  60.     if (session != null) {  
  61.         // 更新访问时间  
  62.         session.access();  
  63.         return (session);  
  64.     } else {  
  65.         return (null);  
  66.     }  
  67.   
  68. }  

这个方法说明了Session创建的大致过程,首先判断requestedSessionId是否存在,如果存在,那么根据这个ID去查找Session对象。如果requestedSessionId不存在或者没有取到Session,并且传递给#getSession(boolean)的参数为真,那么要创建一个新的Session,并且给客户端写回去一个Session Cookie。 

首先,我感兴趣的是requestedSessionId的赋值,它到底是什么时候被赋值的呢? 

还要向回看Tomcat的请求处理过程,请求曾到过这一步,org.apache.catalina.connector.CoyoteAdapter的#service()方法。里边有这样一句方法调用:postParseRequest(req, request, res, response)。就是这一步处理了SessionID的获取,这个方法调用了#parseSessionId()和parseSessionCookiesId()这两个方法,就是它对Session ID进行了提取,源代码分别如下: 

Java代码   收藏代码
  1. protected void parseSessionId(org.apache.coyote.Request req, Request request) {  
  2.   
  3.     ByteChunk uriBC = req.requestURI().getByteChunk();  
  4.     // 判断URL中是不是有";jsessionid="这个字符串  
  5.     int semicolon = uriBC.indexOf(match, 0, match.length(), 0);  
  6.   
  7.     if (semicolon > 0) {  
  8.         // Parse session ID, and extract it from the decoded request URI  
  9.         // 在URL中提取Session ID  
  10.         int start = uriBC.getStart();  
  11.         int end = uriBC.getEnd();  
  12.   
  13.         int sessionIdStart = semicolon + match.length();  
  14.         int semicolon2 = uriBC.indexOf(';', sessionIdStart);  
  15.         if (semicolon2 >= 0) {  
  16.             request.setRequestedSessionId(new String(uriBC.getBuffer(), start + sessionIdStart,  
  17.                     semicolon2 - sessionIdStart));  
  18.             byte[] buf = uriBC.getBuffer();  
  19.             for (int i = 0; i < end - start - semicolon2; i++) {  
  20.                 buf[start + semicolon + i] = buf[start + i + semicolon2];  
  21.             }  
  22.             uriBC.setBytes(buf, start, end - start - semicolon2 + semicolon);  
  23.         } else {  
  24.             request.setRequestedSessionId(new String(uriBC.getBuffer(), start + sessionIdStart,  
  25.                     (end - start) - sessionIdStart));  
  26.             uriBC.setEnd(start + semicolon);  
  27.         }  
  28.         // 设定Session ID来自于URL  
  29.         request.setRequestedSessionURL(true);  
  30.   
  31.     } else {  
  32.         request.setRequestedSessionId(null);  
  33.         request.setRequestedSessionURL(false);  
  34.     }  
  35.   
  36. }  


Java代码   收藏代码
  1. protected void parseSessionCookiesId(org.apache.coyote.Request req, Request request) {  
  2.     Context context = (Context) request.getMappingData().context;  
  3.     if (context != null && !context.getCookies())  
  4.         return;  
  5.   
  6.     // 返回Cookie  
  7.     Cookies serverCookies = req.getCookies();  
  8.     int count = serverCookies.getCookieCount();  
  9.     if (count <= 0)  
  10.         return;  
  11.   
  12.     for (int i = 0; i < count; i++) {  
  13.         ServerCookie scookie = serverCookies.getCookie(i);  
  14.         // 判断是否有JSESSIONID这个名字的Cookie  
  15.         if (scookie.getName().equals(Globals.SESSION_COOKIE_NAME)) {  
  16.             // Override anything requested in the URL  
  17.             if (!request.isRequestedSessionIdFromCookie()) {  
  18.                 // 设定Session ID  
  19.                 convertMB(scookie.getValue());  
  20.                 request.setRequestedSessionId(scookie.getValue().toString());  
  21.                 // 如果之前在URL中读到了SessionID,那么会覆盖它  
  22.                 request.setRequestedSessionCookie(true);  
  23.                 request.setRequestedSessionURL(false);  
  24.                 if (log.isDebugEnabled())  
  25.                     log.debug(" Requested cookie session id is " + request.getRequestedSessionId());  
  26.             } else {  
  27.                 if (!request.isRequestedSessionIdValid()) {  
  28.                     convertMB(scookie.getValue());  
  29.                     request.setRequestedSessionId(scookie.getValue().toString());  
  30.                 }  
  31.             }  
  32.         }  
  33.     }  
  34.   
  35. }  

Tomcat就是通过上边的两个方法读到URL或者Cookie中存放的Session ID的。 

了解了Session ID的获取,下面要看一下Session的查找过程,就是org.apache.catalina.session.StandardManager的#findSession()方法。这个方法是在它的基类中定义的,源代码如下: 

Java代码   收藏代码
  1. public Session findSession(String id) throws IOException {  
  2.     if (id == null)  
  3.         return (null);  
  4.     return (Session) sessions.get(id);  
  5. }  

代码很短,其中sessions是一个ConcurrentHashMap<String, Session>对象。那么这个sessions的对象是什么时候载入的Session呢? 

启动的时候!可以看一下StandardManager#start()方法。最后调用了#load()方法,这个就是载入Session的方法了: 

Java代码   收藏代码
  1. public void load() throws ClassNotFoundException, IOException {  
  2.     if (SecurityUtil.isPackageProtectionEnabled()) {  
  3.         try {  
  4.             AccessController.doPrivileged(new PrivilegedDoLoad());  
  5.         } catch (PrivilegedActionException ex) {  
  6.             Exception exception = ex.getException();  
  7.             if (exception instanceof ClassNotFoundException) {  
  8.                 throw (ClassNotFoundException) exception;  
  9.             } else if (exception instanceof IOException) {  
  10.                 throw (IOException) exception;  
  11.             }  
  12.             if (log.isDebugEnabled())  
  13.                 log.debug("Unreported exception in load() " + exception);  
  14.         }  
  15.     } else {  
  16.         doLoad();  
  17.     }  
  18. }  

最后调用了#doLoad()方法来具体的载入Session,源代码如下: 

Java代码   收藏代码
  1. protected void doLoad() throws ClassNotFoundException, IOException {  
  2.     if (log.isDebugEnabled())  
  3.         log.debug("Start: Loading persisted sessions");  
  4.   
  5.     // 清空Map  
  6.     sessions.clear();  
  7.   
  8.     // 对应work/Catalina/localhost/%app name%/SESSIONS.ser文件  
  9.     File file = file();  
  10.     if (file == null)  
  11.         return;  
  12.     if (log.isDebugEnabled())  
  13.         log.debug(sm.getString("standardManager.loading", pathname));  
  14.     FileInputStream fis = null;  
  15.     ObjectInputStream ois = null;  
  16.     Loader loader = null;  
  17.     ClassLoader classLoader = null;  
  18.     try {  
  19.         // 载入Session缓存文件  
  20.         fis = new FileInputStream(file.getAbsolutePath());  
  21.         BufferedInputStream bis = new BufferedInputStream(fis);  
  22.         if (container != null)  
  23.             loader = container.getLoader();  
  24.         if (loader != null)  
  25.             classLoader = loader.getClassLoader();  
  26.         if (classLoader != null) {  
  27.             if (log.isDebugEnabled())  
  28.                 log.debug("Creating custom object input stream for class loader ");  
  29.             ois = new CustomObjectInputStream(bis, classLoader);  
  30.         } else {  
  31.             if (log.isDebugEnabled())  
  32.                 log.debug("Creating standard object input stream");  
  33.             ois = new ObjectInputStream(bis);  
  34.         }  
  35.     } catch (FileNotFoundException e) {  
  36.         if (log.isDebugEnabled())  
  37.             log.debug("No persisted data file found");  
  38.         return;  
  39.     } catch (IOException e) {  
  40.         log.error(sm.getString("standardManager.loading.ioe", e), e);  
  41.         if (ois != null) {  
  42.             try {  
  43.                 ois.close();  
  44.             } catch (IOException f) {  
  45.                 ;  
  46.             }  
  47.             ois = null;  
  48.         }  
  49.         throw e;  
  50.     }  
  51.   
  52.     synchronized (sessions) {  
  53.         try {  
  54.             // 读出Session个数  
  55.             Integer count = (Integer) ois.readObject();  
  56.             int n = count.intValue();  
  57.             if (log.isDebugEnabled())  
  58.                 log.debug("Loading " + n + " persisted sessions");  
  59.             //  读入Session  
  60.             for (int i = 0; i < n; i++) {  
  61.                 StandardSession session = getNewSession();  
  62.                 session.readObjectData(ois);  
  63.                 session.setManager(this);  
  64.                 sessions.put(session.getIdInternal(), session);  
  65.                 session.activate();  
  66.                 sessionCounter++;  
  67.             }  
  68.         } catch (ClassNotFoundException e) {  
  69.             log.error(sm.getString("standardManager.loading.cnfe", e), e);  
  70.             if (ois != null) {  
  71.                 try {  
  72.                     ois.close();  
  73.                 } catch (IOException f) {  
  74.                     ;  
  75.                 }  
  76.                 ois = null;  
  77.             }  
  78.             throw e;  
  79.         } catch (IOException e) {  
  80.             log.error(sm.getString("standardManager.loading.ioe", e), e);  
  81.             if (ois != null) {  
  82.                 try {  
  83.                     ois.close();  
  84.                 } catch (IOException f) {  
  85.                     ;  
  86.                 }  
  87.                 ois = null;  
  88.             }  
  89.             throw e;  
  90.         } finally {  
  91.             try {  
  92.                 if (ois != null)  
  93.                     ois.close();  
  94.             } catch (IOException f) {  
  95.             }  
  96.   
  97.             // 删除Session缓存文件  
  98.             if (file != null && file.exists())  
  99.                 file.delete();  
  100.         }  
  101.     }  
  102.   
  103.     if (log.isDebugEnabled())  
  104.         log.debug("Finish: Loading persisted sessions");  
  105. }  

大致知道了Session的读取过程,后面就是Session没找到时创建Session的过程了。具体就是org.apache.catalina.session.StandardManager的#createSession()方法: 

Java代码   收藏代码
  1. public Session createSession(String sessionId) {  
  2.     if ((maxActiveSessions >= 0) && (sessions.size() >= maxActiveSessions)) {  
  3.         rejectedSessions++;  
  4.         throw new IllegalStateException(sm.getString("standardManager.createSession.ise"));  
  5.     }  
  6.     return (super.createSession(sessionId));  
  7. }  

最后调用到了它的基类的#createSession()方法了。 

Java代码   收藏代码
  1. public Session createSession(String sessionId) {  
  2.     // 创建一个新的Session  
  3.     Session session = createEmptySession();  
  4.   
  5.     // 初始化Session的属性  
  6.     session.setNew(true);  
  7.     session.setValid(true);  
  8.     session.setCreationTime(System.currentTimeMillis());  
  9.     session.setMaxInactiveInterval(this.maxInactiveInterval);  
  10.     // 如果Session ID为null,那么就生成一个  
  11.     if (sessionId == null) {  
  12.         sessionId = generateSessionId();  
  13.     }  
  14.     session.setId(sessionId);  
  15.     sessionCounter++;  
  16.   
  17.     return (session);  
  18.   
  19. }  

通过上述过程,一个新的Session就创建出来了。

fly_air
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat8亲测可用 tomcat-redis-session-manager的jar包
05-26
Tomcat8亲测可用 tomcat-redis-session-manager的jar包 修改了tomcat-redis-session-manager源码进行的编译生成的jar包
tomcat-redis-session 共享 异常解决:Race condition encountered: attempted to load session[xxx]
点一根烟 浪迹天涯
07-13 577
在使用tomcat-redis-session-manager 的时候,tomcat7 总是报错: 异常报告消息 Race condition encountered: attempted to load session[xxx] which has been created but not yet serialized.描述 服务器遇到一个意外的情况,阻止它完成请求。例外情况java.lang.IllegalStateException: Race condition encountered: atte
tomcat中JSESSIONID生成原理以及条件
zlbook的博客
03-01 2万+
序言: 写这个文章的目的,就是把平时学习的一些东西做个笔记,以防以后忘记和查找方便使用。感兴趣的同学可以通过本文对tomcat中的session机制进行了解。写的不好之处请见谅。 1、session和cookie的基础 由于http协议是无状态的协议,为了能够记住请求的状态,于是引入了Session和Cookie的机制。我们应该有一个很明确的概念,那就是Session是存在于服务器端的,在单
tomcat session生成机制
chuotao6715的博客
08-01 1063
tomcat底层维护一个ConcurrentHashMap,其键是jessionId,其值是session 当从浏览器发起请求后,tomcat会先解析请求头,看是否有对应名称(JessionId)的cookie,有的话会根据这个cookie值去查找session,没找到才会新建,找到就返回这...
TomcatSession创建机制
menghuanzhiming的博客
01-12 3766
转载地址:http://blog.csdn.net/it_man/article/details/26217143 背景: 测试部门做压力测试, 结果没压多久,就出现OutOfMemory. 原因查找,通过监控工具,发现StandardSession(org.apache.catalina.session.StandardSession)对象不断增长,毫无疑问,肯定是在不断创建Sess
tomcat-redis-session-manager-master.jar
04-10
自己通过源码编译后的jar包,已实验可以正常使用
tomcat-redis-session-manager的jar包-包含Tomcat7和Tomcat8
06-28
基于tomcat-redis-session-manager源码进行的编译生成的jar包,压缩包中包含Tomcat7和Tomcat8打好的jar包。
tomcat8 tomcat-redis-session-manager
04-05
tomcat8下 tomcat-redis-session-manager , github上有源码,其他版本都有打好的jar包,tomcat 8 下没有,下载源码生成了一个。
SessionUtil Tomcat 生成 session id 的算法
liang0000zai的专栏
05-24 6160
package com.haohui.web.util; import java.security.MessageDigest; import java.security.NoSuchAlgorithmException; import java.security.SecureRandom; import java.util.Random; /
配置TOMCAT SESSIONID 字符长度和生成算法
weixin_30846599的博客
05-09 151
修改TOMCAT默认的生成SESSIONID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如: <Manager sessionIdLength="20" pathname="SESSIONS.ser" maxActiveSessions="8000" secureRandomAlgorithm="...
Tomcat session的实现:线程安全与管理
xingduan5153的博客
05-20 515
本文所说的session是单机版本的session, 事实上在当前的互联网实践中已经不太存在这种定义了。我们主要讨论的是其安全共享的实现,只从理论上来讨论,不必太过在意实用性问题。 1. session 的意义简说 大概就是一个会话的的定义,客户端有cookie记录,服务端session定义。用于确定你就是你的一个东西。 每个用户在一定范围内共享某个session信息,以实现登录状态,操作的鉴权保...
session在什么时候创建,以及session一致性问题
热门推荐
wowwilliam0的博客
09-17 2万+
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionid。 session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间...
Tomcat每次请求都会创建新Session
beautiful77moon的博客
07-05 2891
代码没有任何错误,只是地址栏里输入地址的时候多输入了一个“/”目前只遇到如下的情况:将http://localhost:8080/bookshopping/showLogin误写成http://localhost:8080//bookshopping/showLogin...
http请求中没有set-cookie,却产生了jsessionid;tomcat产生两个sessionid,一个是自定义的sessionid(customSessionId),一个是默认的jsess
wangjun5159的专栏
12-19 1万+
背景项目使用了spring session,并用redis存储,以实现分布式环境下session同步;查看dev tools—>network时发现,有两个sessionid,一个是spring session中指定的customSessionId,一个是tomcat默认的jsessionid,
tomcatsessionid配置
最新发布
08-09
Tomcat中,可以通过配置文件来设置SessionID的生成方式。 Tomcat使用JSESSIONID作为Session的标识符,它经常作为Cookie的一部分发送给客户端浏览器。默认情况下,Tomcat使用Java的随机数生成器来生成JSESSIONID。但是,为了提高安全性,可以根据需求进行配置。 首先,需要在Tomcat的配置文件web.xml中找到“session-config”标签。可以在这里设置Session的超时时间(以分钟为单位),以及Session的Cookie属性,例如是否只能通过安全连接(HTTPS)发送。 更深入的配置可以通过在Tomcat的配置文件server.xml中找到“<Engine>”标签,然后在其下的“<Host>”标签中设置。可以设置Session的存储方式,常用的有内存、文件和数据库。 另外,还可以使用自定义的SessionID生成器。可以实现javax.servlet.http.HttpSessionIdListener接口,然后在web.xml文件中注册该Listener,Tomcat会在Session创建时调用其生成方法来获取SessionID。一个常用的自定义SessionID生成器是基于UUID(Universally Unique Identifier)的,可以确保生成SessionID是唯一的。 总之,通过Tomcat的配置文件,可以灵活地配置SessionID的生成方式,以满足项目的需求。无论是设置超时时间、Cookie属性,还是使用自定义的SessionID生成器,都可以提高应用程序的安全性和灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值