1. 程式人生 > >session深入探討

session深入探討

簡介

       session,會話,其實是一個容易讓人誤解的詞。它總跟web系統的會話掛鉤,利用session,javaweb專案實現了登入狀態的控制。坊間流傳,關閉瀏覽器,就是關閉了web系統的會話。其實瀏覽器對於會話有自己的定義,而web系統對於會話也有自己的定義。在tomcat中,session通常是指實現了HttpSession介面的實現類。並且不存在關閉瀏覽器就會關閉tomcat的HttpSession這種狀況。 

       session本身並不難,如果只是做登入校驗之類的功能,並不需要深入瞭解,但難的是session和cookie的結合使用,在不同情況下瀏覽器對cookie的控制行為所涉及到的諸多細節,我搜查了很多資料,檢視過tomcat原始碼,亦是沒有找到全面的概述。當然我並未看過、也不知道去哪裡看比較全面的關於瀏覽器對cookie的控制資料,如果有知道的大神,還望留言連結。本文題目,之所以說是探討,而不是瞭解或者介紹,因為我自己也卡在了某個點上,由於時間關係,我不能花太多時間去研究,但又不忍心就此放棄,所以先記錄下來,日後有機會再研究,這期間如有大神指點,也許能讓我茅塞頓開。

session本質

        我用的是javaweb專案,因此這裡的session特指HttpSession。先來看下tomcat原始碼中對session的設計,在org.apache.catalina.session包下,有如下設計:

平時所用到的HttpSession的實現類就是這個standardSession。但是所獲取的HttpSession例項確是外觀類StandardSessionFacade,其遮蔽了許多方法,但也增強了安全性。HttpSession提供了一些方法,來控制session或者獲取session的狀態,如獲取session的id,獲取session的建立時間,設定session的attribute,使session失效等。值得一提的是session的attribute其實是一個執行緒安全的hashMap:

    /**
     * The collection of user data attributes associated with this Session.
     */
    protected ConcurrentMap<String, Object> attributes = new ConcurrentHashMap<>();

但是,建立session、根據id獲取session的方法並不在這裡,而是在一個管理器中,其設計如下:

ManagerBase是實現了Manager介面的抽象類,實現了管理session的功能。其實現子類PersistentManagerBase拓展了將session持久化的功能。但是這裡不需要講到其子類。看ManagerBase中的一段程式碼:

    /**
     * The set of currently active Sessions for this Manager, keyed by
     * session identifier.
     */
    protected Map<String, Session> sessions = new ConcurrentHashMap<>();

由此可知,所謂的session,其實就是一個用執行緒安全的hashMap儲存起來的實現了Session介面的standardSession物件,在hashmap中以其id為key,自身為value。

再看獲取session的方法,一目瞭然:

    @Override
    public Session findSession(String id) throws IOException {
        if (id == null) {
            return null;
        }
        return sessions.get(id);
    }

最重要的是看其createSession方法:

 @Override
    public Session createSession(String sessionId) {

        if ((maxActiveSessions >= 0) &&
                (getActiveSessions() >= maxActiveSessions)) {
            rejectedSessions++;
            throw new TooManyActiveSessionsException(
                    sm.getString("managerBase.createSession.ise"),
                    maxActiveSessions);
        }

        // Recycle or create a Session instance
        Session session = createEmptySession();

        // Initialize the properties of the new session and return it
        session.setNew(true);
        session.setValid(true);
        session.setCreationTime(System.currentTimeMillis());
        session.setMaxInactiveInterval(getContext().getSessionTimeout() * 60);
        String id = sessionId;
        if (id == null) {
            id = generateSessionId();
        }
        session.setId(id);
        sessionCounter++;

        SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
        synchronized (sessionCreationTiming) {
            sessionCreationTiming.add(timing);
            sessionCreationTiming.poll();
        }
        return session;
    }

這個方法是在什麼時候呼叫的呢?當瀏覽器訪問系統時,request會解析請求中攜帶的jssesionid,用它去找到存在於應用中的session,但是如果沒有找到,那麼就會呼叫session的建立方法,並且生成一個新的jssessionid,返回session。

總而言之,session是存在於執行緒安全的map中的值,可以通過id找到,也可以使用invalidate方法銷燬,但絕不會是瀏覽器關閉,就能對它進行銷燬的。

cookie簡介

        提到session,那麼cookie是不得不說的。至於cookie是什麼,我就不多說了,大家都懂。直接看其內容吧:

這是一次http請求中(http://localhost:8080/test1),包含的請求和響應資訊,是對一個系統的初次訪問,用的是谷歌瀏覽器。

請求頭中,包含的Cookie資訊,並沒有上文提到的jsessionid, 那是因為這是對系統的初次訪問,系統還沒生成session。但是訪問之後,系統就會生成一個session,而且,會在響應流中設定響應頭Set-Cookie,其值為JESSIONID=xxx。這樣瀏覽器對localhost:8080和cookie的聯絡就有了記憶,瀏覽器會將其儲存起來,可在除錯工具中看到:

那麼再次訪問http://localhost:8080/test1, 瀏覽器會主動在請求頭新增包括jsession的cookie資訊

系統根據這個jsessionid找到session,也就不會在響應頭中新增Set-Cookie資訊。

這裡說一下cookie中的兩個重要屬性:

  1. domain表示的是cookie所在的域,預設為請求的地址,如網址為www.test.com/test/test.aspx,那麼domain預設為www.test.com。而跨域訪問,如域A為t1.test.com,域B為t2.test.com,那麼在域A生產一個令域A和域B都能訪問的cookie就要將該cookie的domain設定為.test.com;如果要在域A生產一個令域A不能訪問而域B能訪問的cookie就要將該cookie的domain設定為t2.test.com。

  2. path表示cookie所在的目錄,預設為/,就是根目錄。在同一個伺服器上有目錄如下:/test/,/test/cd/,/test/dd/,現設一個cookie1的path為/test/,cookie2的path為/test/cd/,那麼test下的所有頁面都可以訪問到cookie1,而/test/和/test/dd/的子頁面不能訪問cookie2。這是因為cookie能讓其path路徑下的頁面訪問。

疑點

        下面,就該說下我的疑點了。

情況1:

本地開兩個web服務,埠分別是8080,8081。分別取訪問這兩個服務,會產生兩個jsessionid,如:8080對應的是ooooxxxx, 8081對應的是1111xxxx。持續訪問這兩個服務,會發現兩個jsessionid是一直不變的,也就是說正常工作,瀏覽器能夠區別localhost:8080和localhost:8081是不同的域,不會在訪問8081的時候把ooooxxxx作為jsessionid傳送過去。

情況2:

        但是當我在8081的一個方法中,重定向到8080的一個路徑時,發現了奇怪的現象。

8081系統的方法如下:

   @GetMapping("/test")
    public void get1(HttpServletRequest request, HttpServletResponse response) throws IOException {
        HttpSession session = request.getSession();
        String id = session.getId();
        System.out.println(id);
        response.sendRedirect("http://localhost:8080/test1");
    }

8080系統的被重定向路徑如下:

    @GetMapping("/test1")
    public void get11(HttpServletRequest request, HttpServletResponse response) throws IOException {
        HttpSession session = request.getSession();
        String id = session.getId();
        System.out.println(id);
    }

1、初次訪問localhost:8081/test 得到兩次請求的資訊,一次是重定向的,一次是8080的

這說明對8081系統的初次訪問,是沒有傳送jsessionid資訊的,而8081系統生成了一個id為CAAB6AED34716A0394705BDE8CAC0042的session並設定到了響應頭,再次訪問8081時理應會帶上這麼一個id。

2、

這個對8080系統的請求中帶有jsessionid為CAAB6AED34716A0394705BDE8CAC0042的cookie資訊,要知道,我們對8080的訪問也是初次的,那麼為什麼會帶上jsessionid呢?而且這個jsessionid明顯是在8081系統中生成並設定到響應頭的的jsessionid。這個現象我用谷歌和edge瀏覽器分別嘗試過,都是這樣。那麼是不是說明,瀏覽器把這個重定向到localhost:8080的請求當成是同域的請求了 。

但是,情況1中說的很清楚,也是我驗證過的。在不設定重定向的情況下,瀏覽器分別對訪問系統8080和8081,絕對不會出現這樣的情況。

暫且放下這個疑惑,繼續往下驗證。由於這個請求是對8080的系統的訪問,由於是初次訪問,系統根本沒有id為CAAB6AED34716A0394705BDE8CAC0042的session,因此只好生成一個新的session,在響應頭中增加Set-Cookie。

3、再次訪問localhost:8081/test,這時根據上文說的,“再次訪問8081時理應會帶上這麼一個id”,也就是在cookie中帶上JSESSION=CAAB6AED34716A0394705BDE8CAC0042,  但是,我發現它帶的卻是在系統8080中生成的BA0D2C939ADEC087C0A5F0C9B3354891 !!!

這就導致了8081找不到session又再次生成了一個新的session,迴圈往復,每次對8081的訪問都會產生新的session。而這情況,我覺得很明顯,是瀏覽器把對8081的訪問當成是於8080同源的了。

4、至此,我斗膽推論,在不涉及重定向的情況下,瀏覽器對同一ip不同埠的服務認定是不同domain的;在重定向情況下,瀏覽器對同一ip不同埠的服務認定是相同domain的。但是呢,我沒有更確鑿的證據。所以我對著個推論本著懷疑的態度。

解決方案

        基於上面的不嚴謹的推論,我想,只要完全避免同域的情況就可以避開這個問題。於是我把8081和8080系統分別部署在兩個機器上。由於不同ip,不符合瀏覽器的同源策略,這樣無論如何,瀏覽器也不會認為是同域的了。果然,結果是沒有問題的。跟上文情況1所述的結果是一樣的。

不足

        雖然這個解決方案避開了同域的問題,但是沒有徹底解決,畢竟同域的系統相互之間的訪問也是有必要的,為此希望能獲得更多的建議或者資料,補充這方面知識的不足,讓我徹底解決這個問題。