热门标签 | HotTags
当前位置:  开发笔记 > 编程语言 > 正文

Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案

本文讨论了在Servlet多用户登录时可能出现的HttpSession会话信息覆盖问题,并提供了解决方案。通过分析JSESSIONID的作用机制和编码方式,我们可以得出每个HttpSession对象都是通过客户端发送的唯一JSESSIONID来识别的,因此无需担心会话信息被覆盖的问题。需要注意的是,本文讨论的是多个客户端级别上的多用户登录,而非同一个浏览器级别上的多用户登录。

多用户登录时HttpSession会话信息覆盖问题的担忧

    • 1-JSESSIONID的作用机制
    • 2-JSESSIONID的是如何进行编码的?
  • 3-代码验证
    • 提供前端页面
      • login.html
      • index.html
    • 后端代码
      • LoginServlet
      • IndexServlet
    • web.xml配置
      • 测试结果




    对这个问题存有疑惑,完全是因为不知道JSESIONID这个字段的值是如何产生的。然后在网上看到了这样一篇博客:《sessionid如何产生?由谁产生?保存在哪里?》,然后大致有了如下的粗浅理解。


    首先,鉴于JESSIONID的作用机制和编码方式,无须担心多用户登录时,服务器端的HttpSession保存的会话信息会被覆盖,因为每一个HttpSession对象都是通过客户端发送的JESSIONID来识别的,但是每一个JESSIONID又是唯一的,这种彼此之间一对一的关系,使得无须担心这个问题。

    PS:这里说的是在多个客户端级别上的多用户登录,而非同一个浏览器级别上的多用户登录!!!

1-JSESSIONID的作用机制

    JSEESIONID是在浏览器客户端第一次访问服务器端JavaEE程序时,随着HttpSession接口对象被Web容器所创建。通常,我们想要获取这个与某个客户端到服务端之间的连接通道绑定在一起的HttpSession对象,只需要调用HttpServletRequest参数对象的getSession()方法即可。
    对于javax.servlet.http包下的HttpSession接口对象,是与某次HTTP请求关联到一起的,随后就成为了某个Client-XXX与部署在Web容器中的Server-XXX之间会化状态维持的唯一标识。也即:

每次客户端Client-XXX与服务器端Server-XXX通信时,服务器端JavaEE程序都会通过JESSIONID字段来判断:当前客户端Client-xxx是否拥有访问某个页面/资源的权限,或者说是根据特定的JESSIONID来唯一标识某个客户端程序,从而保证:在多个用户访问同一个服务器端程序时,存储在服务器端HttpSession对象中的信息不会被覆盖。

    Servlet-API文档中对HttpServletRequest参数对象的getSession()方法做了如下说明:

public HttpSession getSession()
Returns the current session associated with this request, or if the request does not have a session, creates one.返回一个与此次请求(request)相关联的会话对象,但是如果该会话对象不存在,就创建一个。
Returns:
the HttpSession associated with this request
See Also:
getSession(boolean)

2-JSESSIONID的是如何进行编码的?

    JESSIONID的唯一性是通过“随机数+时间+jvmid”来保证的,因为一个JESSIONID正是由这个几个部分组成的:

session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid;
【此处:omcat的session的id值生成的机制是一个随机数加时间加上jvm的id值,jvm的id值会根据服务器的硬件信息计算得来,因此不同jvm的id值都是唯一的】JESSIONID通常是存储在服务器的内存中,tomcat的StandardManager类将session存储在内存中,
也可以持久化到file,数据库,memcache,redis等。客户端只保存sessionid到COOKIE中,
而不会保存session,session销毁只能通过invalidate或超时,关掉浏览器并不会关闭session。

3-代码验证

    先说一下验证思路:
(1)由于是多端的多用户登录,因此,使用了PC端和Pad端使用不同的账户进行登录,并将登录信息存储到HttpSession对象中,同时设置页面访问权限的控制,即:必须在客户端登陆成功的前提下,才可访问其他页面;
(2)在使用两个客户端交替地第二次访问其他页面时,打印其账户登录信息和JESSIONID的值,只要JESSIONID值不同、账户不同的PC端和Pad端的页面可以正常访问其它页面,那么就验证成功,否则验证失败。

提供前端页面


login.html

<!DOCTYPE html>
<html lang&#61;"en">
<head><meta charset&#61;"UTF-8"><title>用户登录</title>
</head>
<body><form action&#61;"loginservlet" method&#61;"post"><label for&#61;"uname">账户&#xff1a;</label><input type&#61;"text" placeholder&#61;"请输入账户" id&#61;"uname" name&#61;"username"/><label for&#61;"uname">密码&#xff1a;</label><input type&#61;"password" placeholder&#61;"请输入密码" id&#61;"pswd" name&#61;"password"/><input type&#61;"submit" name&#61;"登录" value&#61;"登录"/></form>
</body>
</html>

index.html

<!DOCTYPE html>
<html lang&#61;"en">
<head><meta charset&#61;"UTF-8"><title>主页</title>
</head>
<body><p>welcome to index.html!</p><a href&#61;"loginoutservlet">退出登录</a>
</body>
</html>

后端代码


LoginServlet

package com.xwd.main.servlet;import com.xwd.main.pojo.User;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;/*** &#64;ClassName Login* &#64;Description: com.xwd.main.servlet* &#64;Auther: xiwd* &#64;Date: 2022/2/6 - 02 - 06 - 18:27* &#64;version: 1.0*/
&#64;WebServlet(name &#61; "loginservlet",value &#61; {"/loginservlet"}
)
public class LoginServlet extends HttpServlet {//methods&#64;Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {super.doGet(req, resp);}&#64;Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//super.doPost(req, resp);//设置参数解析编码格式req.setCharacterEncoding("UTF-8");//获取HttpSessionHttpSession session &#61; req.getSession();//获取请求参数String username &#61; req.getParameter("username");String password &#61; req.getParameter("password");//判断是否为空if (username!&#61;null&&password!&#61;null){if (("root".equals(username)&&"root".equals(password))||("root1".equals(username)&&"root1".equals(password))){//登陆成功//设置sessionUser user&#61;new User(username,password);session.setAttribute("user",user);System.out.println("登录-"&#43;user.toString());//跳转到index.html(WEB-INF下的资源)req.getRequestDispatcher("WEB-INF/pages/index.html").forward(req,resp);}else {//登陆失败resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}else {resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}
}

IndexServlet

package com.xwd.main.servlet;import com.xwd.main.pojo.User;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.*;
import java.io.IOException;/*** &#64;ClassName IndexServlet* &#64;Description: com.xwd.main.servlet* &#64;Auther: xiwd* &#64;Date: 2022/2/6 - 02 - 06 - 18:48* &#64;version: 1.0*/
&#64;WebServlet(name &#61; "indexservlet",value &#61; {"/indexservlet"}
)
public class IndexServlet extends HttpServlet {//methods&#64;Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//super.doGet(req, resp);this.doPost(req, resp);}&#64;Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {//super.doPost(req, resp);//设置request解析参数的编码格式req.setCharacterEncoding("UTF-8");//获取SessionHttpSession session &#61; req.getSession();//获取用户信息User user &#61; (User)session.getAttribute("user");//判断用户是否为空if (user!&#61;null){//获取用户名String usernmae &#61; user.getUsernmae();if (null!&#61;usernmae){//跳转到index.htmlreq.getRequestDispatcher("WEB-INF/pages/index.html").forward(req,resp);//获取COOKIE信息COOKIE[] COOKIEs &#61; req.getCOOKIEs();for (COOKIE COOKIE : COOKIEs) {if ("JSESSIONID".equals(COOKIE.getName())) {System.out.println("JSESSIONID&#61;"&#43;COOKIE.getValue());}}}}else {//用户信息为空&#xff0c;跳转到登录页面resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}
}

web.xml配置


<web-app xmlns&#61;"http://xmlns.jcp.org/xml/ns/javaee"xmlns:xsi&#61;"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation&#61;"http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"version&#61;"4.0"><welcome-file-list><welcome-file>login.htmlwelcome-file><welcome-file>login.jspwelcome-file>welcome-file-list>web-app>

测试结果

在这里插入图片描述


推荐阅读
author-avatar
my小甜心
这个家伙很懒,什么也没留下!
PHP1.CN | 中国最专业的PHP中文社区 | DevBox开发工具箱 | json解析格式化 |PHP资讯 | PHP教程 | 数据库技术 | 服务器技术 | 前端开发技术 | PHP框架 | 开发工具 | 在线工具
Copyright © 1998 - 2020 PHP1.CN. All Rights Reserved | 京公网安备 11010802041100号 | 京ICP备19059560号-4 | PHP1.CN 第一PHP社区 版权所有