序言:
写这个文章的目的,就是把平时学习的一些东西做个笔记,以防以后忘记和查找方便使用。感兴趣的同学可以通过本文对tomcat中的session机制进行了解。写的不好之处请见谅。
1、session和cookie的基础
由于http协议是无状态的协议,为了能够记住请求的状态,于是引入了Session和Cookie的机制。我们应该有一个很明确的概念,那就是Session是存在于服务器端的,在单体式应用中,他是由tomcat管理的,存在于tomcat的内存中,而Cookie则是存在于客户端,更方便理解的说法,可以说存在于浏览器。Cookie并不常用,至少在企业或者互联网开发中,并没有什么场景需要我们过多的关注Cookie。http协议允许从服务器返回Response时携带一些Cookie,并且同一个域下对Cookie的数量有所限制,之前说过Session的持久化依赖于服务端的策略,而Cookie的持久化则是依赖于本地文件。虽然说Cookie并不常用,但是有一类特殊的Cookie却是我们需要额外关注的,那便是与Session相关的sessionId,他是真正维系客户端和服务端的桥梁。
2、环境搭建
为了研究出tomcat中的JSESSIONID是如何生成的,我们需要搭建一个web测试环境,然后追踪tomcat的源码,一窥究竟。
这里为了方便,我使用SpringBoot来快速搭建一个web环境,开发工具采用的是IDEA,构建工具为Maven。相关配置如下:
父pom配置:
com.my.learn
spring-root
1.0-SNAPSHOT
pom
spring-root
org.springframework.boot
spring-boot-starter-parent
1.5.10.RELEASE
UTF-8
UTF-8
1.8
org.projectlombok
lombok
1.16.6
org.springframework.boot
spring-boot-maven-plugin
工程pom配置:
session-tomcat
0.0.1-SNAPSHOT
jar
session-tomcat
com.my.learn
spring-root
1.0-SNAPSHOT
org.springframework.boot
spring-boot-starter-web
添加一个controller负责接受浏览器请求:
@RestController
@CommonsLog
public class CookieController {
@RequestMapping("/test/cookie")
public String cookie(HttpServletRequest request,
HttpServletResponse response,
HttpSession session) {
Cookie[] cookies = request.getCookies();
if(cookies !=null) {
Arrays.stream(cookies).forEach((cookie) ->
log.info(cookie.getName() + " : " + cookie.getValue())
);
}
return "index";
}
@RequestMapping("/test/cookie1")
public String cookie1( HttpServletRequest request) {
HttpSession session = request.getSession(false);
return "index";
}
}
3、分析问题追踪源码
第一步、在chorm浏览器输入地址http://localhost:8080/test/cookie,可以看到如下结果:
第二步:删除第一步中产生的cookie[JESSIONID],访问连接http://localhost:8080/test/cookie1,产生如下结果:
这时候没有产生绑定session的cookie。
是什么原因导致JESSIONID没有生成。
通过结果我们分析,服务器往浏览器中返回cookie信息,一般都是通过HttpServletResponse的addCookie去完成。
我们在/test/cookie请求中添加一段代码,
response.addCookie(new Cookie("key","value"));
在上面打断点跟踪源代码发现,最终添加cookie的代码是在ResponseFacade.addCookie 方法中,类 ResponseFacade 含有org.apache.catalina.connector.Response的实例对象,addCookie方法通过对象response完成调用。
@Override
public void addCookie(Cookie cookie) {
if (isCommitted()) {
return;
}
response.addCookie(cookie);
}
在response对象又含有org.apache.coyote.Response对象,最终的添加通过 org.apache.coyote.Response对象来完成的。
private void addHeader(String name, String value, Charset charset) {
if (name == null || name.length() == 0 || value == null) {
return;
}
if (isCommitted()) {
return;
}
// Ignore any call from an included servlet
if (included) {
return;
}
char cc=name.charAt(0);
if (cc=='C' || cc=='c') {
if (checkSpecialHeader(name, value))
return;
}
getCoyoteResponse().addHeader(name, value, charset);
}
我们通过对上面的底层代码大断点,最后发现session中 JESSIONID实在下面的调用过程中创建的。
在 org.apache.catalina.connector.Request对象的doGetSession方法中调用的。
// Create a new session if requested and the response is not committed
if (!create) {
return (null);
}
if (response != null
&& context.getServletContext()
.getEffectiveSessionTrackingModes()
.contains(SessionTrackingMode.COOKIE)
&& response.getResponse().isCommitted()) {
throw new IllegalStateException(
sm.getString("coyoteRequest.sessionCreateCommitted"));
}
// Re-use session IDs provided by the client in very limited
// circumstances.
String sessionId = getRequestedSessionId();
if (requestedSessionSSL) {
// If the session ID has been obtained from the SSL handshake then
// use it.
} else if (("/".equals(context.getSessionCookiePath())
&& isRequestedSessionIdFromCookie())) {
/* This is the common(ish) use case: using the same session ID with
* multiple web applications on the same host. Typically this is
* used by Portlet implementations. It only works if sessions are
* tracked via cookies. The cookie must have a path of "/" else it
* won't be provided for requests to all web applications.
*
* Any session ID provided by the client should be for a session
* that already exists somewhere on the host. Check if the context
* is configured for this to be confirmed.
*/
if (context.getValidateClientProvidedNewSessionId()) {
boolean found = false;
for (Container container : getHost().findChildren()) {
Manager m = ((Context) container).getManager();
if (m != null) {
try {
if (m.findSession(sessionId) != null) {
found = true;
break;
}
} catch (IOException e) {
// Ignore. Problems with this manager will be
// handled elsewhere.
}
}
}
if (!found) {
sessionId = null;
}
}
} else {
sessionId = null;
}
session = manager.createSession(sessionId);
// Creating a new session cookie based on that session
if (session != null
&& context.getServletContext()
.getEffectiveSessionTrackingModes()
.contains(SessionTrackingMode.COOKIE)) {
Cookie cookie =
ApplicationSessionCookieConfig.createSessionCookie(
context, session.getIdInternal(), isSecure());
response.addSessionCookieInternal(cookie);
}
通过代码我发现是由,Request中getSession(boolean create)发起的。当我们的create设置为true的时候,当session被new出来之后,会在当前的Resposne中自动添加 JESSIONID的这个cookie。假如获取session这是为false,或者不从容器中获取session,就不添加JESSIONID这个cookie。
4、结论
对于tomcat容器来说,当服务端的session被创建时,Response中自动添加了一个Cookie:JSESSIONID:xxxx,再后续的请求中,浏览器也是自动的带上了这个Cookie,服务端根据Cookie中的JSESSIONID取到了对应的session。这验证了一开始的说法,客户端服务端是通过JSESSIONID进行交互的,并且,添加和携带key为JSESSIONID的Cookie都是tomcat和浏览器自动帮助我们完成的,这很关键。