Tomcat源码分析-Session源码解析

于 2023-03-01 16:29:43 发布
阅读量330 收藏
点赞数
文章标签: tomcat java apache
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_37948564/article/details/129284424
版权

在 web 开发中,我们经常会用到 Session 来保存会话信息,包括用户信息、权限信息,等等。在这篇文章中,我们将分析 tomcat 容器是如何创建 session、销毁 session,又是如何对 HttpSessionListener 进行事件通知

tomcat session 设计分析

tomcat session 组件图如下所示,其中 Context 对应一个 webapp 应用,每个 webapp 有多个 HttpSessionListener, 并且每个应用的 session 是独立管理的,而 session 的创建、销毁由 Manager 组件完成,它内部维护了 N 个 Session 实例对象。在前面的文章中,我们分析了 Context 组件,它的默认实现是 StandardContext,它与 Manager 是一对一的关系,Manager 创建、销毁会话时,需要借助 StandardContext 获取 HttpSessionListener 列表并进行事件通知,而 StandardContext 的后台线程会对 Manager 进行过期 Session 的清理工作

org.apache.catalina.Manager 接口的主要方法如下所示,它提供了 Contextorg.apache.catalina.SessionIdGenerator 的 getter/setter 接口,以及创建、添加、移除、查找、遍历 Session 的 API 接口,此外还提供了 Session 持久化的接口(load/unload) 用于加载/卸载会话信息,当然持久化要看不同的实现类

public interface Manager {
    public Context getContext();
    public void setContext(Context context);
    public SessionIdGenerator getSessionIdGenerator();
    public void setSessionIdGenerator(SessionIdGenerator sessionIdGenerator);
    public void add(Session session);
    public void addPropertyChangeListener(PropertyChangeListener listener);
    public void changeSessionId(Session session);
    public void changeSessionId(Session session, String newId);
    public Session createEmptySession();
    public Session createSession(String sessionId);
    public Session findSession(String id) throws IOException;
    public Session[] findSessions();
    public void remove(Session session);
    public void remove(Session session, boolean update);
    public void removePropertyChangeListener(PropertyChangeListener listener);
    public void unload() throws IOException;
    public void backgroundProcess();
    public boolean willAttributeDistribute(String name, Object value);

tomcat8.5 提供了 4 种实现,默认使用 StandardManager,tomcat 还提供了集群会话的解决方案,但是在实际项目中很少运用,关于 Manager 的详细配置信息请参考 tomcat 官方文档

  • StandardManager:Manager 默认实现,在内存中管理 session,宕机将导致 session 丢失;但是当调用 Lifecycle 的 start/stop 接口时,将采用 jdk 序列化保存 Session 信息,因此当 tomcat 发现某个应用的文件有变更进行 reload 操作时,这种情况下不会丢失 Session 信息
  • DeltaManager:增量 Session 管理器,用于Tomcat集群的会话管理器,某个节点变更 Session 信息都会同步到集群中的所有节点,这样可以保证 Session 信息的实时性,但是这样会带来较大的网络开销
  • BackupManager:用于 Tomcat 集群的会话管理器,与DeltaManager不同的是,某个节点变更 Session 信息的改变只会同步给集群中的另一个 backup 节点
  • PersistentManager:当会话长时间空闲时,将会把 Session 信息写入磁盘,从而限制内存中的活动会话数量;此外,它还支持容错,会定期将内存中的 Session 信息备份到磁盘

Session 相关的类图如下所示,StandardSession 同时实现了 javax.servlet.http.HttpSessionorg.apache.catalina.Session 接口,并且对外提供的是 StandardSessionFacade 外观类,保证了 StandardSession 的安全,避免开发人员调用其内部方法进行不当操作。而 org.apache.catalina.connector.Request 实现了 javax.servlet.http.HttpServletRequest 接口,它持有 StandardSession 的引用,对外也是暴露 RequestFacade 外观类。而 StandardManager 内部维护了其创建的 StandardSession,是一对多的关系,并且持有 StandardContext 的引用,而 StandardContext 内部注册了 webapp 所有的 HttpSessionListener 实例。

创建Session

我们以 HttpServletRequest#getSession() 作为切入点,对 Session 的创建过程进行分析

public class SessionExample extends HttpServlet {
    public void doGet(HttpServletRequest request, HttpServletResponse response)
        throws IOException, ServletException  {
        HttpSession session = request.getSession();
        // other code......
    }

整个流程图如下图所示(查看原图):

tomcat 创建 session 的流程如上图所示,我们的应用程序拿到的 HttpServletRequest 是 org.apache.catalina.connector.RequestFacade(除非某些 Filter 进行了特殊处理),它是 org.apache.catalina.connector.Request 的门面模式。首先,会判断 Request 对象中是否存在 Session,如果存在并且未失效则直接返回,因为在 tomcat 中 Request 对象是被重复利用的,只会替换部分组件,所以会进行这步判断。此时,如果不存在 Session,则尝试根据 requestedSessionId 查找 Session,而该 requestedSessionId 会在 HTTP Connector 中进行赋值(如果存在的话),如果存在 Session 的话则直接返回,如果不存在的话,则创建新的 Session,并且把 sessionId 添加到 Cookie 中,后续的请求便会携带该 Cookie,这样便可以根据 Cookie 中的sessionId 找到原来创建的 Session 了

在上面的过程中,Session 的查找、创建都是由 Manager 完成的,下面我们分析下 StandardManager 创建 Session 的具体逻辑。首先,我们来看下 StandardManager 的类图,它也是个 Lifecycle 组件,并且 ManagerBase 实现了主要的逻辑。

整个创建 Session 的过程比较简单,就是实例化 StandardSession 对象并设置其基本属性,以及生成唯一的 sessionId,其次就是记录创建时间,关键代码如下所示:

public Session createSession(String sessionId) {

    // 限制 session 数量,默认不做限制,maxActiveSessions = -1
    if ((maxActiveSessions >= 0) &&
            (getActiveSessions() >= maxActiveSessions)) {
        rejectedSessions++;
        throw new TooManyActiveSessionsException(sm.getString("managerBase.createSession.ise"), maxActiveSessions);
    }

    // 创建 StandardSession 实例,子类可以重写该方法
    Session session = createEmptySession();

    // 设置属性,包括创建时间,最大失效时间
    session.setNew(true);
    session.setValid(true);
    session.setCreationTime(System.currentTimeMillis());

    // 设置最大不活跃时间(单位s),如果超过这个时间,仍然没有请求的话该Session将会失效
    session.setMaxInactiveInterval(getContext().getSessionTimeout() * 60);
    String id = sessionId;
    if (id == null) {
        id = generateSessionId();
    }
    session.setId(id);
    sessionCounter++;   // 这个地方不是线程安全的,可能当时开发人员认为计数器不要求那么准确

    // 将创建时间添加到LinkedList中,并且把最先添加的时间移除,主要还是方便清理过期session
    SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
    synchronized (sessionCreationTiming) {
        sessionCreationTiming.add(timing);
        sessionCreationTiming.poll();
    }
    return (session);

在 tomcat 中是可以限制 session 数量的,如果需要限制,请指定 Manager 的 maxActiveSessions 参数,默认不做限制,不建议进行设置,但是如果存在恶意攻击,每次请求不携带 Cookie 就有可能会频繁创建 Session,导致 Session 对象爆满最终出现 OOM。另外 sessionId 采用随机算法生成,并且每次生成都会判断当前是否已经存在该 id,从而避免 sessionId 重复。而 StandardManager 是使用 ConcurrentHashMap 存储 session 对象的,sessionId 作为 key,org.apache.catalina.Session 作为 value。此外,值得注意的是 StandardManager 创建的是 tomcat 的 org.apache.catalina.session.StandardSession,同时他也实现了 servlet 的 HttpSession,但是为了安全起见,tomcat 并不会把这个 StandardSession 直接交给应用程序,因此需要调用 org.apache.catalina.Session#getSession() 获取 HttpSession

我们再来看看 StandardSession 的内部结构

  • attributes:使用 ConcurrentHashMap 解决多线程读写的并发问题
  • creationTime:Session 的创建时间
  • expiring:用于标识 Session 是否过期
  • lastAccessedTime:上一次访问的时间,用于计算 Session 的过期时间
  • maxInactiveInterval:Session 的最大存活时间,如果超过这个时间没有请求,Session 就会被清理、
  • listeners:这是 tomcat 的 SessionListener,并不是 servlet 的 HttpSessionListener
  • facade:HttpSession 的外观模式,应用程序拿到的是该对象
public class StandardSession implements HttpSession, Session, Serializable {
    protected ConcurrentMap<String, Object> attributes = new ConcurrentHashMap<>();
    protected long creationTime = 0L;
    protected transient volatile boolean expiring = false;
    protected transient StandardSessionFacade facade = null;
    protected String id = null;
    protected volatile long lastAccessedTime = creationTime;
    protected transient ArrayList<SessionListener> listeners = new ArrayList<>();
    protected transient Manager manager = null;
    protected volatile int maxInactiveInterval = -1;
    protected volatile boolean isNew = false;
    protected volatile boolean isValid = false;
    protected transient Map<String, Object> notes = new Hashtable<>();
    protected transient Principal principal = null;
Java面试大全
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
[转]TOMCAT源码分析——SESSION管理分析(上)
Corrinejtt
08-19 271
前言   对于广大java开发者而已,对于J2EE规范中的Session应该并不陌生,我们可以使用Session管理用户的会话信息,最常见的就是拿Session用来存放用户登录、身份、权限及状态等信息。对于使用Tomcat作为Web容器的大部分开发人员而言,Tomcat是如何实现Session标记用户和管理Session信息的呢? 概述 SESSION   Tomcat内部定义了Se...
Tomcat源码分析(九)--Session管理
海海人生
07-11 214
在明白TomcatSession机制之前,先要了解Session,Cookie,JSESSIONID这几个概念。JSESSIONID是一个唯一标识号,用来标识服务器端的Session,也用来标识客户端的Cookie,客户端和服务器端通过这个JSESSIONID来一一对应。这里需要说明的是Cookie已经包含JSESSIONID了,可以理解为JSESSIONID是Cookie里的一个属性。让...
Tomcatsession详解(源码阅读)
fj_ding的专栏
05-08 205
Tomcat中的session是通过一个manager来管理的,其中Session接口默认实现类有StandardSession,管理器的默认实现是StandardManager。 我们平时在servlet中使用的session也就是HashMap中的一个session对象,同时session除了在内存存储,同时还提供了持久化方法,tomcat中持久化有两种,一种是保存为文件,另一种则是保存...
tomcat-redis-session-manager源码
06-15
《深入解析Tomcat-Redis-Session-Manager源码》 在现代Web应用中,服务器端会话管理是一个至关重要的部分,特别是在高并发、分布式环境中。Tomcat作为最流行的Java Servlet容器,提供了丰富的功能来支持这一需求。...
tomcat-redis-session-manager-master.zip
06-17
2. **源码解析**: - `createSession()`方法用于创建新的session,它会生成一个唯一的session ID,并将session信息序列化后存入Redis。 - `removeSession()`方法负责销毁session,它会在Redis中删除对应的session...
tomcat-redis-session-manager-master
10-09
5. **源码开发**:了解项目源码可以帮助开发者自定义session管理策略,比如超时策略、序列化方式等。 6. **Maven项目管理**:如果项目使用Maven,可以通过`pom.xml`管理依赖并构建项目。 7. **测试实践**:测试...
tomcat-redis-session-manager 支持 tomcat7 ,包含源码和jar
最新发布
04-10
《深入理解Tomcat-Redis-Session-Manager:与Tomcat7的整合及源码解析》 在现代Web应用中,由于高并发、分布式部署的需求,单一服务器的session管理已无法满足需求。这时,将session存储在外部存储系统,如Redis,...
tomcat源码,servlet-api源码
12-28
Tomcat源码分析有助于识别性能瓶颈,例如调整线程池大小、缓存策略、连接器设置等。此外,了解如何配置和使用NIO或APR(Apache Portable Runtime)连接器可以显著提升Tomcat的并发处理能力。 8. **故障排查** ...
Tomcat源码八:Session
mengxiangqihangz的博客
04-16 305
文章目录之前在FormAuthenticator 处有个 Session 之前在FormAuthenticator 处有个 Session
Tomcatsession实现源码解析
haogexiaole的博客
06-25 944
1.session的生成和写入到响应头 servlet实例通过javax.servlet.http.HttpServletRequest接口的getSession()或getSession(boolean create) 实现session创建或者获取 getSession(boolean create) 当create变量为true时,如果当前session存在,返回session;如果当...
tomcat源码解读六 tomcat中的session生命历程
jack_Zheng的博客
12-02 648
session的作用是在一次会话中(从打开浏览器到关闭浏览器同当前服务器的交流)当客户端第一次请求session对象时候,服务器会为客户端创建一个session,并将通过特殊算法算出一个session的ID,用来标识该session对象,当浏览器下次(session继续有效时)请求别的资源的时候,浏览器会sessionID放置到请求头中,服务器接收到请求后就得到该请求的sessionID,服务器根
Tomcat源码Session实现
never stop,just running!!!
08-10 126
     前段时间看了阵子Tomcat源码,有所得。早想总结出来可惜太多了,不知道从何说起,今天早上有时间先从Session如何实现的说起吧,免得时间越久忘记的越多。      Tomcat的容器有四个级别,分别为Engine、Host、Context和Wrapper。所有的容器都有相同的父类,即org.apache.catalina.core.ContainerBase。那么session的...
深入Tomcat源码分析Session到底是个啥!
Roderick2015的博客
10-19 428
Session到底是个啥?我们都知道,HTTP协议本身是无状态的(Stateless),这对于一些简单的页面展示来说,功能足够,不受影响。而对于日渐复杂的动态页面、应用,各种需要登录认证等场景,就力不从心了。试想对于一个已经登录的用户仍然一次次的提示登录,会是什么感受呢?因此,多数需要保持状态的应用,就要保证客户端和服务端交互状态的一致。对
tomcatsession持久化源码分析
Bruce_Json的博客
09-10 358
一、session持久化流程 服务器关闭将session序列化到本地,服务器重新启动将存储的session序列化文件反序列化,加载到session管理容器中,从而实现用户登录信息不丢失 二、在springBoot中开启session持久化 在springBoot配置文件中打开persistent persistent是持久化开关,不配置默认是关闭的 dir是持久化文件存储目录 server.session.persistent=true server.session.store-dir=.
深入Tomcat源码分析 Session到底是个啥?
Tomcat那些事儿
03-17 219
Session到底是个啥? 文章首发于微信公众号「Tomcat那些事儿」,欢迎关注。 我们都知道,HTTP协议本身是无状态的(Stateless),这对于一些简单的页面展示来说,功能足够,不受影响。而对于日渐复杂的动态页面、应用,各种需要登录认证等场景,就力不从心了。试想对于一个已经登录的用户仍然一次次的提示登录,会是什么感受呢? 因此,多数需要保持状态的应用,就要保证客户端和服务端交互状态...
tomcat7下载tomcat-redis-session-manager
09-12
要下载Tomcat-Redis-Session-Manager,可以按照以下步骤进行操作: 1. 首先,打开Tomcat-Redis-Session-Manager的官方网站,通常可以在GitHub上找到该项目的页面。 2. 在GitHub页面上,找到项目的下载链接或者源代码的地址。一般来说,会提供两种下载方式,一种是直接下载编译好的jar包,另一种是克隆或下载源代码。 3. 如果选择直接下载编译好的jar包,点击下载链接,等待下载完成。 4. 如果选择克隆或下载源代码,点击源代码地址,可以使用git命令来将代码克隆到本地,或者选择下载源代码的zip文件并解压到本地。 5. 下载完成后,将jar包或源代码文件复制到Tomcat的lib目录下。通常该目录位于Tomcat安装目录下的lib文件夹中。 6. 接下来,需要配置Tomcat-Redis-Session-Manager在Tomcat中的使用。找到Tomcat的配置文件(通常是server.xml),在其中添加相应的配置信息,如Redis的连接信息、Session过期时间等。 7. 保存并关闭配置文件后,重新启动Tomcat。 8. 如果配置正确,Tomcat将会加载Tomcat-Redis-Session-Manager,使用Redis作为Session的存储和管理。 注意:在下载和安装Tomcat-Redis-Session-Manager时,需要确保Tomcat版本与Tomcat-Redis-Session-Manager的兼容性。同时,根据自己的需求,可以对Tomcat-Redis-Session-Manager进行进一步的配置和调整。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Java面试大全

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值