17站长网

17站长网 首页 网站 服务器 查看内容

Tomcat中的Session与Cookie深入讲解

2022-10-14 12:54| 查看: 1378 |来源: 互联网

HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTT ...

HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。本文首发于公众号顿悟源码.

解决办法就是使用 Cookie,它由服务器返回给浏览器,浏览器缓存并在每次请求时将 cookie 数据提交到服务器。Cookies 在请求中以明文传输,且大小限制 4KB,显然把所有状态数据保存在浏览器是不靠谱的,主流做法是:

  1. 浏览器发出第一个请求时,服务器为用户分配一个唯一标识符,返回并存入浏览器的 Cookies 中

  2. 服务器内部维护一个全局的请求状态库,并使用生成的唯一标识符关联每个请求的状态信息

  3. 浏览器后续发出的请求,都将唯一标识符提交给服务器,以便获取之前请求的状态信息

为了方便管理,服务器把整个过程称为会话,并抽象成一个 Session 类,用于识别和存储有关该用户的信息或状态。
接下来,将通过会话标识符的解析和生成,Session 的创建、销毁和持久化等问题,分析 Tomcat 的源码实现,版本使用的是 6.0.53。

1. 解析会话标识符

Cookie 作为最常用的会话跟踪机制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存储会话标识符的 cookie 的标准名字是 JSESSIONID。

如果如果浏览器不支持 Cookie,也可以使用以下办法,记录标识符:

  • URL 重写: 作为路径参数包含到 url 中,如 /path;JSESSIONID=xxx

  • URL 请求参数: 将会话唯一标识作为查询参数添加到页面所有链接中,如 /path?JSESSIONID=xxx

  • FORM 隐藏字段: 表单中使用一个隐藏字段存储唯一值,随表单提交到服务器

Tomcat 就实现了从 URL 重写路径和 Cookie 中提取 JSESSIONID。在分析源码之前,首先看下设置 Cookie 的响应和带 Cookie 的请求它们头域的关键信息:

// 设置 Cookie
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examples
Date: Sun, 12 May 2019 01:40:35 GMT

// 提交 Cookie
GET /examples/servlets/servlet/SessionExample HTTP/1.1
Host: localhost:8080
Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91

1.1 从 URL 重写路径

一个包含会话 ID 路径参数的 URL 如下:

http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x

简单来看就是查找匹配分号和最后一个斜线之间的 JSESSIONID,事实也是如此,只不过 Tomcat 操作的是字节,核心代码在 CoyoteAdapter.parsePathParameters() 方法,这里不在贴出。

1.2 从 Cookie 头域

触发 Cookie 解析的方法调用如下:

CoyoteAdapter.service(Request, Response)
└─CoyoteAdapter.postParseRequest(Request, Request, Response, Response)
 └─CoyoteAdapter.parseSessionCookiesId(Request, Request)
 └─Cookies.getCookieCount()
 └─Cookies.processCookies(MimeHeaders)
 └─Cookies.processCookieHeader(byte[], int, int)

这个 processCookieHeader 操作的是字节,解析看起来不直观,在 Tomcat 内部还有一个被标记废弃的使用字符串解析的方法,有助于理解,代码如下:

private void processCookieHeader( String cookieString ){
 // 多个 cookie 值以逗号分割
 StringTokenizer tok = new StringTokenizer(cookieString, ";", false);
 while (tok.hasMoreTokens()) {
  String token = tok.nextToken();
  // 获取等号的位置
  int i = token.indexOf("=");
  if (i > -1) {
   // 获取name 和 value 并去除空格
   String name = token.substring(0, i).trim();
   String value = token.substring(i+1, token.length()).trim();
   // RFC 2109 and bug 去除两头的双引号 "
   value=stripQuote( value );
   // 从内部 cookie 缓存池中获取一个 ServerCookie 对象
   ServerCookie cookie = addCookie();
   // 设置 name 和 value
   cookie.getName().setString(name);
   cookie.getValue().setString(value);
  } else {
   // we have a bad cookie.... just let it go
  }
 }
}

解析完毕,接下来就是在 parseSessionCookiesId 方法遍历并尝试匹配名称为 JSESSIONID 的 Cookie,如果存在,则将其值设为 Request 的 requestedSessionId,与内部的一个 Session 对象关联。

2. 生成会话 Cookie

与会话相关的 Cookie 是 Tomcat 内部自己生成的,当在 Servlet 中使用 Request.getSession() 获取会话对象时,就会触发执行,核心代码:

protected Session doGetSession(boolean create) {
 ...
 // 创建 Session 实例
 if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {
  // 如果会话 ID 来自 cookie,请重用该 ID,如果来自 URL,请不要
  // 重用该会话ID,以防止可能的网络钓鱼攻击
  session = manager.createSession(getRequestedSessionId());
 } else {
  session = manager.createSession(null);
 }
 // 基于该 Session 创建一个新的会话 cookie
 if ((session != null) && (getContext() != null)
    && getContext().getCookies()) {
  String scName = context.getSessionCookieName();
  if (scName == null) {
   // 默认 JSESSIONID
   scName = Globals.SESSION_COOKIE_NAME;
  }
  // 新建 Cookie
  Cookie cookie = new Cookie(scName, session.getIdInternal());
  // 设置 path domain secure
  configureSessionCookie(cookie);
  // 添加到响应头域
  response.addSessionCookieInternal(cookie, context.getUseHttpOnly());
 }
 if (session != null) {
  session.access();
  return (session);
 } else {
  return (null);
 }
}

添加到响应头域,就是根据 Cookie 对象,生成如开始描述的格式那样。

3. Session

Session 是 Tomcat 内部的一个接口,是 HttpSession 的外观类,用于维护 web 应用特定用户的请求之间的状态信息。相关类图设计如下:

关键类或接口的作用如下:

  • Manager - 管理 Session 池,不同的实现提供特定的功能,如持久化和分布式

  • ManagerBase - 实现了一些基本功能,如 Session 池,唯一ID生成算法,便于继承扩展

  • StandardManager - 标准实现,可在此组件重新启动时提供简单的会话持久性(例如,当整个服务器关闭并重新启动时,或重新加载特定Web应用程序时)

  • PersistentManagerBase - 提供多种不同的持久化存储管理方式,如文件和数据库

  • Store - 提供持久化存储和加载会话和用户信息

  • ClusterManager - 集群 session 管理接口,负责会话的复制方式

  • DeltaManager - 将会话数据增量复制到集群中的所有成员

  • BackupManager - 将数据只复制到一个备份节点,集群中所有成员可看到这个节点

本文不分析集群复制的原理,只分析单机 Session 的管理。

3.1 创建 Session

在 Servlet 中首次使用 Request.getSession() 获取会话对象时,会创建一个 StandardSession 实例:

public Session createSession(String sessionId) {
 // 默认返回的是 new StandardSession(this) 实例
 Session session = createEmptySession();
 // 初始化属性
 session.setNew(true);
 session.setValid(true);
 session.setCreationTime(System.currentTimeMillis());
 // 设置会话有效时间,单位 秒,默认 30 分钟,为负值表示永不过期
 session.setMaxInactiveInterval(((Context) getContainer()).getSessionTimeout() * 60);
 if (sessionId == null) {
  // 生成一个会话 ID
  sessionId = generateSessionId();
 
 session.setId(sessionId);
 sessionCounter++;

 SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
 synchronized (sessionCreationTiming) {
  sessionCreationTiming.add(timing);
  sessionCreationTiming.poll();
 }
 return (session);
}

关键就在于会话唯一标识的生成,来看 Tomcat 的生成算法:

  1. 随机获取 16 个字节

  2. 使用 MD5 加密这些字节,再次得到一个 16 字节的数组

  3. 遍历新的字节数组,使用每个字节的高低4位分别生成一个十六进制字符

  4. 最后得到一个 32 位的十六进制字符串

核心代码如下:

protected String generateSessionId() {
 byte random[] = new byte[16];
 String jvmRoute = getJvmRoute();
 String result = null;
 // 将结果渲染为十六进制数字的字符串
 StringBuffer buffer = new StringBuffer();
 do {
  int resultLenBytes = 0;
  if (result != null) { // 重复,重新生成
   buffer = new StringBuffer();
   duplicates++;
  }
  // sessionIdLength 为 16
  while (resultLenBytes < this.sessionIdLength) {
   getRandomBytes(random);// 随机获取 16 个字节
   // 获取这16个字节的摘要,默认使用 MD5
   random = getDigest().digest(random);
   // 遍历这个字节数组,最后生成一个32位的十六进制字符串
   for (int j = 0;
   j < random.length && resultLenBytes < this.sessionIdLength;
   j++) {
    // 使用指定字节的高低4位分别生成一个十六进制字符
    byte b1 = (byte) ((random[j] & 0xf0) >> 4);
    byte b2 = (byte) (random[j] & 0x0f);
    // 转为十六进制数字字符
    if (b1 < 10) {buffer.append((char) ('0' + b1));}
    // 转为大写的十六进制字符
    else {buffer.append((char) ('A' + (b1 - 10)));}
    
    if (b2 < 10) {buffer.append((char) ('0' + b2));}
    else {buffer.append((char) ('A' + (b2 - 10)));}
    resultLenBytes++;
   }
  }
  if (jvmRoute != null) {buffer.append('.').append(jvmRoute);}
  result = buffer.toString();
 } while (sessions.containsKey(result));
 return (result);
}

3.2 Session 过期检查

一个 Web 应用对应一个会话管理器,也就是说 StandardContext 内部有一个 Manager 实例。每个容器组件都会启动一个后台线程,周期的调用自身以及内部组件的 backgroundProcess() 方法,Manager 后台处理就是检查 Session 是否过期。

检查的逻辑是,获取所有 session 使用它的 isValid 判断是否过期,代码如下:

public boolean isValid() {
 ...
 // 是否检查是否活动,默认 false
 if (ACTIVITY_CHECK && accessCount.get() > 0) {
  return true;
 }
 // 检查时间是否过期
 if (maxInactiveInterval >= 0) { 
  long timeNow = System.currentTimeMillis();
  int timeIdle = (int) ((timeNow - thisAccessedTime) / 1000L);
  if (timeIdle >= maxInactiveInterval) {
   // 如果过期,执行一些内部处理
   // 主要是通知对过期事件感兴趣的 listeners
   expire(true);
  }
 } // 复数永不过期
 return (this.isValid);
}

3.3 Session 持久化

持久化就是把内存中活动的 Session 对象,序列化到文件,或者存储到一个数据库中。如果会话管理组件符合并启用了持久化功能,那么就会在它生命周期事件 stop 方法中执行存储;在 start 方法中执行加载。

持久化到文件,StandardManager 也提供了持久化到文件的功能,它会把 session 池中活动的会话全部写入到CATALINA_HOME/work/Catalina///SESSIONS.ser文件中,代码在它的 doUnload 方法中。

FileStore 也提供了持久化到文件的功能,与 StandardManager 的区别是,它会把每个会话写入到单个文件中,以.session 命名。

持久化到数据库,分别把 session 相关数据存储到一个表中,包括序列化后的二进制数据,表字段信息如下:

create table tomcat_sessions (
 session_id   varchar(100) not null primary key,
 valid_session char(1) not null, -- 是否有效
 max_inactive  int not null,-- 最大有效时间
 last_access  bigint not null, -- 最后访问时间
 app_name    varchar(255), -- 应用名,格式为 /Engine/Host/Context
 session_data  mediumblob, -- 二进制数据
 KEY kapp_name(app_name)
);

注意:需要把数据库驱动程序的 jar 文件,放到 $CATALINA_HOME/lib 目录中,以便让 Tomcat 内部的类加载器可见。

4. 小结

本文简单分析了 Tomcat 对 Session 的管理,当然了忽略了很多细节,有兴趣的可以深入源码,后续将会对 Tomcat 集群 Session 的实现进行分析。

总结

以上所述是小编给大家介绍的Tomcat中的Session与Cookie深入讲解,希望对大家有所帮助,如果大家有任何疑问请给我留言,小编会及时回复大家的。在此也非常感谢大家对17站长网的支持!

本文最后更新于 2022-10-14 12:54,某些文章具有时效性,若有错误或已失效,请在网站留言或联系站长:17tui@17tui.com
·END·
站长网微信号:w17tui,关注站长、创业、关注互联网人 - 互联网创业者营销服务中心

免责声明:本站部分文章和图片均来自用户投稿和网络收集,旨在传播知识,文章和图片版权归原作者及原出处所有,仅供学习与参考,请勿用于商业用途,如果损害了您的权利,请联系我们及时修正或删除。谢谢!

17站长网微信二维码

始终以前瞻性的眼光聚焦站长、创业、互联网等领域,为您提供最新最全的互联网资讯,帮助站长转型升级,为互联网创业者提供更加优质的创业信息和品牌营销服务,与站长一起进步!让互联网创业者不再孤独!

扫一扫,关注站长网微信

大家都在看

  • 当我们在共享网络访问的时候,可能会遇到提示指定的网络名不再可用的问题,这可能是由于我们的共享网络出现了错误,也可能是被共享的对象所拒绝了。指定的网络名 ......

    故障排除 2023-03-10
  •   文/曹杨  原标题:谁还看电视?  爸爸戴一副老花镜,妈妈戴一副近视镜,一人坐在沙发,一人躺在床上,各自刷着自己关注的博主更新的短视频。电视也许开着,但只是背景。  这样的画面,几乎成了洛奇家的常 ...

    站长 2020-12-09
  • 图片来源于简书  文/郭开森 杨帆  陆玖财经准备开新栏目了,每周一创始人郭开森和杨帆合体郭德帆,对行业进行一些观察和评论,第一篇我们仍是打算写社区团购,这是当下最火的话题。  来过陆玖财经做客的朋友们...

    热议 2020-12-07
  • 一、软件冲突1、首先确认是否是应用程序冲突导致的。2、查看是否只有特定几个游戏或应用会导致该问题。3、如果是应用冲突,那么只要卸载这些app就可以解决了。二 ......

    软件教程 2022-12-27
  • 1、首先进入到“百度”软件中, 2、然后在其中输入“百度识图”, 3、之后点击图中的“开始使用”按钮, 4、紧接着点击右下角的“相册”功能, 5、在相册下 ......

    软件教程 2023-02-17
  • 电脑端:1、大家可以点击右边链接进入网页版的百度网盘,进入之后点击“去登录”。https://pan.baidu.com/2、之后正确的输入账号密码进行登录就好啦。手机端:1 ......

    软件教程 2022-12-27
  • 在填写一些项目申请书中,总是免不了要选择一些数字,但是在方框中如何插入数字,该怎么办呢?那么下面就由学习啦小编给大家分享下word在方框里输入数字的技巧, ......

    Word教程 2023-04-27
  • 8月15日消息 上周,有媒体报道前身为百度图片的“榴莲”APP含有大量不雅视频内容被用户举报。对此,百度图片官方进行了回应,百度图片表示已经对报道中所涉及的“生吃旋风哥”等争议内容进行了下线处理。 此外,百度...

    站长 2016-08-15
  • 一、N100对比intel i3 1、N100的跑分达到了147210分,这个数据可以达到i3的七代级别。 2、在跑分上也是超越了大部分的I3七代CPU,不过比I3八代要弱势一些。 3 ......

    硬件知识 2023-04-26
  • WPS Office手机版怎么加横线?很多用户还不知道WPS Office手机版怎么加横线,WPS Office手机版怎么加横线,WPS Office手机版怎么打横线,WPS Office手机版怎么弄 ......

    WPS教程 2023-03-31
  • 一、内容特权。 1、半价点播。 许多站内视频都需要付费观看,而大会员用户可以直接半价享受; 购买成功后的48h内无限次观看。有部分的内容是只限在中国大陆内观 ......

    软件教程 2023-05-05
  • 迅雷前缀是什么 答:迅雷前缀是(magnet:?xt=urn:btih:)括号里的就是了。 我们只要在这段文字之后输入后续的内容,就可以创建下载链接了。 1、磁力链接不基于文 ......

    软件教程 2023-06-03
  • 1、首先打开小米运动的“实验室功能”。 2、接着点击“门卡模拟”。 3、然后点击“我知道了”。 4、最后贴近就可以刷卡成功了。...

    硬件知识 2023-05-17
  • 1、打开手机轻颜相机app,点击“我的”,点击“设置”,2、点击“帮助与反馈”,3、点击右下角“在线咨询”即可联系客服,询问自己的问题啦!...

    软件教程 2023-03-16
  • 答:华为P系列: 华为p40,华为p40plus,华为p50,华为p50e,华为p60 华为mate系列: 华为mate40,华为mate50,华为mate50e,华为mate60 华为nova系列: 华为n ......

    鸿蒙系统 2023-04-24
  • 近期有用户反映,电脑在更新Windows 11 Insider Preview 25252.1000后,出现了应用和已压缩的文件点击毫无反应,拖拽都不行,只能从开始菜单打开的情况,这是怎 ......

    windows11 2022-12-13
  •   文/黎明  一场针对中国互联网巨头的反垄断风暴正在酝酿,而且这次动真格了。  11月10日,国家市场监管总局发布《关于平台经济领域的反垄断指南(征求意见稿)》,要加大对互联网巨头涉嫌垄断的调查和监管。 ...

    热议 2020-11-14
  • 答:骁龙8+更好。 骁龙7+gen2实际上就是骁龙8+的低配版本。 在一些其他的核心架构方面都是保持一致的,比如说CPU的架构、GPU的架构等等。 骁龙7+和骁龙8+具体 ......

    硬件知识 2023-04-06
  • 可见单元格就是不包括隐藏或者筛选筛选后隐藏起来的单元格区域。方法:筛选或隐藏数据,复制需要粘贴的值,在目标单元格区域左上角的第一个单元格处右击,选择【 ......

    WPS教程 2022-12-10
  • win11系统如何释放掉系统默认保留的存储空间?一般情况下,Windows会保留一些存储空间,以便设备获得良好性能和成功更新。但是当出现系统盘储存空间不足时,我们会将几个G的保留空间释放出来,以解燃眉之急。本期教...

    windows11 2022-11-17
  • 文件被win10系统误报病毒自动删除了如何进行恢复?有用户下载了某些破解软件却被Win10系统误认为是病毒文件而自动删除,当然系统自带杀毒软件其实挺不错的,就是有时候会误报,大家遇到这种情况的时候就希望把误删的...

    windows10 2022-11-20
  • win11系统快速跳过联网创建本地管理账户3种方法?现在市面上销售的品牌笔记本和台式机基本上都预装Windows11家庭中文版正版操作系统,联网后系统会自动激活。当用户拿到新机器后还需要按照cortana(小娜)的提示一步...

    windows11 2022-11-13
  • 答:在3DMark压力测试当中,显卡需要超高97%才能够算合格,证明显卡的稳定性是过关的。 1、一般的默认情况下在2500~3000分就算很正常的了。 2、分数越高说明显卡 ......

    软件教程 2023-06-01
  • 罗技g304dpi灯颜色代表什么:1、蓝色:这种情况是正常工作的显示,如果说是常亮或者闪烁,那都没有问题这是在正常工作呢。2、红色:如果说是红灯闪烁的话那就是 ......

    硬件知识 2023-03-16
  • 相信有非常多使用过笔记本的用户都听说过独显直连这个词,但很多用户并不了解独显直连是什么,又有什么用处,那么下面就和小编一起来看看什么是独显直连和开启这 ......

    其它 2022-12-15
  • 背景 有时候我们需要获取文件的创建时间。 例如: 我在研究 《xtrabackup 原理图》的时候,想通过观察确认 xtrabackup_log 是最早创建 并且是 最晚保存的 ......

    服务器 2022-10-17
  • win11系统开机总是自动登录OneDrive如何关闭?win11系统开机的时候,会自动启动OneDrive,不想要启动,该怎么操作呢?下面我们就来看看详细的教程。 在OneDrive界面点小齿轮按钮,下拉菜单中点【设置】。 单击【...

    windows11 2022-11-15
  • 假设有 A、 B 两台 Linux 服务器,我们希望能够从其中一台服务器通过 SSH 免密码登录到另一台服务器。 两台服务器的信息如下:&#160; ......

    服务器 2022-10-14
  • 答:性能上差不多是和天玑9000以及骁龙8+处于差不多的水平。 也可以看成是骁龙8+的降配版本 骁龙7+处理器介绍 1、高通称这款芯片为“骁龙史上最强 7 系平台” ......

    硬件知识 2023-04-06
  • 1、首先确认手机型号是否支持无线充电功能,(可以在品牌官网找到手机信息查看)2、查看充电板的指示灯是否亮起。指示灯不亮检查充电器、数据线、电源之间连接是 ......

    硬件知识 2023-03-10

热门排行

    最近更新

      返回顶部