zz 谁在创建session
(1)-不恰当的request.getSession()
在HttpServlet中,HttpSession对象通常在request.getSession(true)方法调用时才创建。 HttpSession的使用是有代价的,需要占用服务器资源,本着能不浪费就不浪费的原则,我希望系统中的session都在掌握之中,在需要创建时由 我们的代码明确创建。但是最近在开发中发现,新的session对象经常在意料之外出现,究竟是谁在创建session呢?
最常见的地方是错误的使用request.getSession()函数,通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况,正常的判断应该是这样:
1
.
private
boolean
ifFlagExistInSession(HttpServletRequest request)
{
2. HttpSession session = request.getSession(false);
3. if (session != null) {
4. if (session.getAttribute("flagName") != null) {
5. return true;
6. }
7. }
8. return false;
9. }
而下面的写法,则可能会生成一个新的不在我们意图之外的session:
1
.
private
boolean
ifFlagExistInSession(HttpServletRequest request)
{
2. HttpSession session = request.getSession(); // a new session created if no session exists
3. if (session.getAttribute("flagName") != null) {
4. return true;
5. }
6. return false;
7. }
注意request.getSession() 等同于 request.getSession(true),除非我们确认session一定存在或者sesson不存在时明确有创建session的需要,否则 请尽量使用request.getSession(false)。
(2)-悄悄干活的jsp
jsp文件是session创建的一个源头,这里指的不是在jsp文件中用代码或者标签来操作session,这些都是在控制中的。容易忽视或者说根本就 不会意识到的(比如我,就是写jsp三年后才发现的)是,jsp有自动创建session的机制,在jsp页面中,如果没有明确的给出 <% @page session="false"%>,jsp页面会非常乖巧(如果刚好需要)或者说是偷偷摸摸(如果不需要)的自动在生成的java文件中增加一 句: javax.servlet.http.HttpSession session = request.getSession(true)。
为了验证这个说法,我们做以下测试,先来一个最简单的jsp文件,名字也简单a.jsp,放到resin下。a.jsp的内容如下,注意里面有一个<%=1%>,后面会详细解释为什么需要这句话:
用页面访问一下,然后到resin下webapp目录的WEB-INF/work/_jsp目录下找到_a__jsp.java,打开可以看到
public class _a__jsp extends com.caucho.jsp.JavaPage
有关jsp页面是如何转换为java文件再被编译成class的介绍,请google。看我们关心的public void _jspService()方法:
可以看到第一行,明确的调用了request.getSession(true),session就是再这里被自动创建的,这里也就是JSP中隐含的session对象的来历。
使用抓包软件,可以看到请求这个jsp页面的http response里面有以下内容:
Set-Cookie: JSESSIONID=abc0zn72YuHtacvaaORBr; path=/
这个是刚才创建的session的jsessionid,被保存到cookie中。
然后继续测试,设置为
<%@ page session="false"%>
打开java文件:
没有javax.servlet.http.HttpSession session = request.getSession(true);
这行代码了,同时http response 中没有Set-Cookie: JSESSIONID=***的语句了。
ok,这下清晰了。
再来解释一下为什么要在刚才的jsp文件里面增加<%=1%>这行,我们先做测试,将<%=1%>删除,同样测试<%@ page session="true/false"%>两种情况。可以看到
则不管是否有<%@ page session="true"%>都不自动创建session。考虑删除<%=1%>后的jsp文件内容
这个是最简单的纯html页面,估计是resin的实现考虑优化了这点。(resin: 都纯html了,还要session干嘛?)
最后再澄清一点,发现网络上很多人持有一个观点: session在第一次访问时创建。这个明显的是被jsp文件自动创建(默认是true哦)session给误导了,其实只有明确的调用 request.getSession()/request.getSession(true)才会生成session。只是大多数人的jsp页面不会明 确加入<%@ page session="false"%>,也不了解这个机制,造成了错误的理解。
(3)-凑热闹的webwork标签
按照前面的方法,将jsp页面加入<%@ page session="false"%>之后,发现还是有新的session会意外的蹦出来。仔细检查action没有操作session,那这次是谁 干的呢?将目光转回jsp文件,首先来次狠的,将这个jsp文件的内容删空为只有纯html内容。重新运行后发现不会自动生成session,ok,问题 在jsp文件里面了。将原来的内容一点点的加回去,反复测试直到session自动创建的问题再次出现, 哈,发现问题出现在webwork的标签上。
这次出问题的a.jsp代码内容为:
在HttpServlet中,HttpSession对象通常在request.getSession(true)方法调用时才创建。 HttpSession的使用是有代价的,需要占用服务器资源,本着能不浪费就不浪费的原则,我希望系统中的session都在掌握之中,在需要创建时由 我们的代码明确创建。但是最近在开发中发现,新的session对象经常在意料之外出现,究竟是谁在创建session呢?
最常见的地方是错误的使用request.getSession()函数,通常在action中检查是否有某个变量/标记存放在session中。这个场景中可能出现没有session存在的情况,正常的判断应该是这样:
private boolean ifFlagExistInSession(HttpServletRequest request) { HttpSession session = request.getSession(false); if (session != null) { if (session.getAttribute("flagName") != null) { return true; } } return false; }
2. HttpSession session = request.getSession(false); 3. if (session != null) { 
4. if (session.getAttribute("flagName") != null) { 5. return true; 6. } 7. } 8. return false; 9. }
而下面的写法,则可能会生成一个新的不在我们意图之外的session:
private boolean ifFlagExistInSession(HttpServletRequest request) { HttpSession session = request.getSession(); // a new session created if no session exists if (session.getAttribute("flagName") != null) { return true; } return false; }注意request.getSession() 等同于 request.getSession(true),除非我们确认session一定存在或者sesson不存在时明确有创建session的需要,否则 请尽量使用request.getSession(false)。
(2)-悄悄干活的jsp
jsp文件是session创建的一个源头,这里指的不是在jsp文件中用代码或者标签来操作session,这些都是在控制中的。容易忽视或者说根本就 不会意识到的(比如我,就是写jsp三年后才发现的)是,jsp有自动创建session的机制,在jsp页面中,如果没有明确的给出 <% @page session="false"%>,jsp页面会非常乖巧(如果刚好需要)或者说是偷偷摸摸(如果不需要)的自动在生成的java文件中增加一 句: javax.servlet.http.HttpSession session = request.getSession(true)。
为了验证这个说法,我们做以下测试,先来一个最简单的jsp文件,名字也简单a.jsp,放到resin下。a.jsp的内容如下,注意里面有一个<%=1%>,后面会详细解释为什么需要这句话:
- <%@ page session="true"%>
test - <%=1%>
<%@ page session="true"%> test <%=1%> 用页面访问一下,然后到resin下webapp目录的WEB-INF/work/_jsp目录下找到_a__jsp.java,打开可以看到
public class _a__jsp extends com.caucho.jsp.JavaPage
有关jsp页面是如何转换为java文件再被编译成class的介绍,请google。看我们关心的public void _jspService()方法:
- public void _jspService(javax.servlet.http.HttpServletRequest request,
- javax.servlet.http.HttpServletResponse response)
- throws java.io.IOException, javax.servlet.ServletException
- {
- javax.servlet.http.HttpSession session = request.getSession(true);
- com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();
public void _jspService(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws java.io.IOException, javax.servlet.ServletException { javax.servlet.http.HttpSession session = request.getSession(true); com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();可以看到第一行,明确的调用了request.getSession(true),session就是再这里被自动创建的,这里也就是JSP中隐含的session对象的来历。
使用抓包软件,可以看到请求这个jsp页面的http response里面有以下内容:
Set-Cookie: JSESSIONID=abc0zn72YuHtacvaaORBr; path=/
这个是刚才创建的session的jsessionid,被保存到cookie中。
然后继续测试,设置为
<%@ page session="false"%>
打开java文件:
- public void _jspService(javax.servlet.http.HttpServletRequest request,
- javax.servlet.http.HttpServletResponse response)
- throws java.io.IOException, javax.servlet.ServletException
- {
- com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();
public void _jspService(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws java.io.IOException, javax.servlet.ServletException { com.caucho.server.webapp.Application _jsp_application = _caucho_getApplication();没有javax.servlet.http.HttpSession session = request.getSession(true);
这行代码了,同时http response 中没有Set-Cookie: JSESSIONID=***的语句了。
ok,这下清晰了。
再来解释一下为什么要在刚才的jsp文件里面增加<%=1%>这行,我们先做测试,将<%=1%>删除,同样测试<%@ page session="true/false"%>两种情况。可以看到
- public void _jspService(javax.servlet.http.HttpServletRequest request,
- javax.servlet.http.HttpServletResponse response)
- throws java.io.IOException, javax.servlet.ServletException
- {
- javax.servlet.http.HttpSession session = request.getSession(true);
public void _jspService(javax.servlet.http.HttpServletRequest request, javax.servlet.http.HttpServletResponse response) throws java.io.IOException, javax.servlet.ServletException { javax.servlet.http.HttpSession session = request.getSession(true);则不管是否有<%@ page session="true"%>都不自动创建session。考虑删除<%=1%>后的jsp文件内容
- <%@ page session="true"%>
test
<%@ page session="true"%> test 这个是最简单的纯html页面,估计是resin的实现考虑优化了这点。(resin: 都纯html了,还要session干嘛?)
最后再澄清一点,发现网络上很多人持有一个观点: session在第一次访问时创建。这个明显的是被jsp文件自动创建(默认是true哦)session给误导了,其实只有明确的调用 request.getSession()/request.getSession(true)才会生成session。只是大多数人的jsp页面不会明 确加入<%@ page session="false"%>,也不了解这个机制,造成了错误的理解。
(3)-凑热闹的webwork标签
按照前面的方法,将jsp页面加入<%@ page session="false"%>之后,发现还是有新的session会意外的蹦出来。仔细检查action没有操作session,那这次是谁 干的呢?将目光转回jsp文件,首先来次狠的,将这个jsp文件的内容删空为只有纯html内容。重新运行后发现不会自动生成session,ok,问题 在jsp文件里面了。将原来的内容一点点的加回去,反复测试直到session自动创建的问题再次出现, 哈,发现问题出现在webwork的标签上。
这次出问题的a.jsp代码内容为:
Java代码
- <%@ page contentType="text/html; charset=UTF-8" %>
- <%@ page session="false" %>
- <%@taglib prefix="ww" uri="webwork" %>
- "-//W3C/m/DTD XHTML 1.0 Strict//EN"
- "http://www.w3.org/TR/xhtml1/DTD/xhtml1-strict.dtd">
- <%=1%>