Tomcat 中的 Session 和 Cookie

最新推荐文章于 2024-01-03 19:03:05 发布
置顶 最新推荐文章于 2024-01-03 19:03:05 发布
阅读量304 收藏
点赞数 1
分类专栏: 互联网 编程语言 文章标签: 互联网 编程语言
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44811417/article/details/90748702
版权
本文介绍了 HTTP 无状态特性以及如何通过 Cookie 和 Session 实现会话跟踪。详细探讨了 Tomcat 中 Session 的创建、解析、过期检查和持久化,包括 JSESSIONID 的提取、会话 Cookie 的生成、Session 接口及其关键类的设计。通过对 Tomcat 源码的分析,揭示了 Session 管理的实现细节。
摘要由CSDN通过智能技术生成

HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。本文首发于公众号顿悟源码.

解决办法就是使用 Cookie,它由服务器返回给浏览器,浏览器缓存并在每次请求时将 cookie 数据提交到服务器。Cookies 在请求中以明文传输,且大小限制 4KB,显然把所有状态数据保存在浏览器是不靠谱的,主流做法是:

  1. 浏览器发出第一个请求时,服务器为用户分配一个唯一标识符,返回并存入浏览器的 Cookies 中
  2. 服务器内部维护一个全局的请求状态库,并使用生成的唯一标识符关联每个请求的状态信息
  3. 浏览器后续发出的请求,都将唯一标识符提交给服务器,以便获取之前请求的状态信息

为了方便管理,服务器把整个过程称为会话,并抽象成一个 Session 类,用于识别和存储有关该用户的信息或状态。

接下来,将通过会话标识符的解析和生成,Session 的创建、销毁和持久化等问题,分析 Tomcat 的源码实现,版本使用的是 6.0.53。

1. 解析会话标识符

Cookie 作为最常用的会话跟踪机制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存储会话标识符的 cookie 的标准名字是 JSESSIONID

如果如果浏览器不支持 Cookie,也可以使用以下办法,记录标识符:

  • URL 重写: 作为路径参数包含到 url 中,如 /path;JSESSIONID=xxx
  • URL 请求参数: 将会话唯一标识作为查询参数添加到页面所有链接中,如 /path?JSESSIONID=xxx
  • FORM 隐藏字段: 表单中使用一个隐藏字段存储唯一值,随表单提交到服务器

Tomcat 就实现了从 URL 重写路径和 Cookie 中提取 JSESSIONID。在分析源码之前,首先看下设置 Cookie 的响应和带 Cookie 的请求它们头域的关键信息:

// 设置 Cookie
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examples
Date: Sun, 12 May 2019 01:40:35 GMT

// 提交 Cookie
GET /examples/servlets/servlet/SessionExample HTTP/1.1
Host: localhost:8080
Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91

1.1 从 URL 重写路径

一个包含会话 ID 路径参数的 URL 如下:

http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x

简单来看就是查找匹配分号和最后一个斜线之间的 JSESSIONID,事实也是如此,只不过 Tomcat 操作的是字节,核心代码在 Coyote

最低0.47元/天 解锁文章
编程鸭
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Tomcat深入浅出——SessionCookie
JavaShark的博客
07-11 698
Cookie:有时也用其复数形式 Cookies。类型为“小型文本文件”,是某些网站为了辨别用户身份,进行Session跟踪而储存在用户本地终端上的数据(通常经过加密),由用户客户端计算机暂时或永久保存的信息Cookie原理:当客户端去访问使用了cookie的服务器时,服务器会生成一份cookie发送到客户端,客户端会把这个数据保存起来,然后这样下次使用时,服务器就可以通过cookie知道是哪个客户端了。 此方法用来设置cookie时间 设置访问路径-浏览器访问这个路径,一定要带cookie才行 设置coo
tomcat修改jsessionid在cookie的名称
jaymou
03-29 2701
同一台server部署多个tomcat,每个tomcat里部署了同一个app作为不同的环境,在同一个浏览器同事访问不同环境的时候,session会混乱如下 :server1 登录>产生session ID>回传给客户端浏览器 > 客户端进行接下来的操作,request默认会加上JSESSIONID,就是回传的session ID, tomcat根据request里的session...
在Intellij idea下为tomcat7设置sessionCookieName
Fly_m的专栏
12-01 915
    由于现在的浏览器在对同一ip不同端口的cookie保存时,并没有区分不同端口的session信息。那么当我们时同开启两个tomcat进行开发时,由于用户验证信息是通过session进行保存的。那么就会出现,在同一个机器布置两个系统A和B,当用户A登陆A系统并成功之后,用户B登陆B系统之后,再回到A系统,当进行点击时,就会提示A用户已经不存在了,即相应的session信息已经不存在了。  ...
Tomcat二级域名共享Session
weixin_34356555的博客
12-18 129
为什么80%的码农都做不了架构师?>>> ...
TOMCATSESSIONCOOKIE的深度探索.pdf
09-29
TOMCATSESSIONCOOKIE的深度探索.pdf
Tomcatsession的管理机制
09-01
- **Cookie解析**:如果sessionId存在于cookie,`parseSessionCookiesId`方法会从cookie提取它。这个过程通常会获取名为`jsessionId`的cookie值。 2. Servlet获取session的流程: 当Servlet需要获取session时...
关于tomcatsessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数
qq_39505012的博客
10-22 1383
关于sessioncookie参考: http://www.blogjava.net/freeman1984/archive/2011/09/02/357833.html http://www.blogjava.net/freeman1984/archive/2010/09/09/331501.html http://www.blogjava.net/freeman1984/archive...
tomcatSessionCookie
xiaolong7713的博客
06-08 865
tomcatsession周期分析常用的缓存失效机制前言1. sessioncookie的创建2. Cookie被解析的过程3. 通过URL传参jsessionid4. request.getSession5. Guava的LocalCache的过期机制最后总结参考资料 前言 http本身是无状态的协议,sessioncookie恰好补充了这个状态。通过了解tomact的seesion和cookie的原理,可以在此基础上搞明白session共享和SSO单点。 1. sessioncookie
tomcat 自定义session名称
YourGhost_的博客
07-17 300
问题描述:同一台服务器下,如果不修改tomcatsessionid,在同一个浏览器访问两个应用的页面 ,第二个会把第一个的session覆盖。解决方案:tomcat context.xml 增加sessionCookieName=“xxx”
关于tomcatsessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数原理和使用
harry的专栏
01-28 1493
关于tomcatsessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数 关于sessioncookie参考: http://www.blogjava.net/freeman1984/archive/2011/09/02/357833.html http://www.blogjava.net/freeman
服务器温习笔记(三)TomcatCookie&Session
xueshanfeitian的博客
11-16 373
会话技术 一次会话: 浏览器第一次给服务器资源发送请求,会话建立,直到有一方断开为止。 会话: 一次会话包含多次请求和响应。 功能:在一次会话的范围内的多次请求之间实现数据共享 方式: 1.客户端会话技:Cookie 2. 服务器端会话技术: Session Cookie Cookie是客户端会话技术,可以将将数据保存到客户端。 使用步骤 创建Cookie对象,绑定数据 new Cookie(String name, String value) 发送Cookie对象 response.addC
tomcat session cookie值设置逻辑
最新发布
u014200244的专栏
01-03 562
tomcat session cookie 值设置,tomcat jsessionid设置。##调用request.getSession()##请求没有获取到jsessionid,新建值。##reponse header写回客户端。##设置到response header。
TomcatSet-Cookie的Domain错误导致无法登录问题
踏着键的威威猫
08-15 3799
把项目部署到生产上后,发现无法保持登录状态,每次一登录成功后进入页面又跳转至登录页。检查请求 Response Headers 发现 Set-Cookie 的 Domain 指向了另外一个地址,原来是 Tomcat Context 配置sessionCookieDomain 写错了地址,改正即可。配置如,.example.com 会对 www.example.com 有效,具体规则可参考下面链
TomcatSessioncookie的深度探索
nutian的专栏
09-10 2862
TomcatSessioncookie的深度探索(续)由于业务需要,昨天稍微研究了一下tomcat处理session的机制,对此有了更为深刻的理解,现在记下来,供大家参考和讨论。大家也许都了解,tomcat为了维持和浏览器之间的session对应关系,主要采用三种方式:1.cookie纪录sessionId;2.url重写;3.隐藏表单,这个几乎和url重写意义相同;   
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值