当前位置: 开发笔记 > 前端 > 正文

Tomcat中实现Session小结

作者：凯鹏2502896277 | 来源：互联网 | 2022-08-17 23:28

什么是Session 对Tomcat而言，Session是一块在服务器开辟的内存空间，其存储结构为ConcurrentHashMap；

什么是Session

对Tomcat而言，Session是一块在服务器开辟的内存空间，其存储结构为ConcurrentHashMap；

Session的目的

Http协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；

Session的主要目的就是为了弥补Http的无状态特性。简单的说，就是服务器可以利用session存储客户端在同一个会话期间的一些操作记录；

实现机制

先看两个问题，如下：

1、服务器如何判断客户端发送过来的请求是属于同一个会话？

答：用Session id区分，Session id相同的即认为是同一个会话，在Tomcat中Session id用JSESSIONID表示；

2、服务器、客户端如何获取Session id？Session id在其之间是如何传输的呢？

答：服务器第一次接收到请求时，开辟了一块Session空间（创建了Session对象），同时生成一个Session id，并通过响应头的Set-COOKIE：“JSESSIOnID=XXXXXXX”命令，向客户端发送要求设置COOKIE的响应；

客户端收到响应后，在本机客户端设置了一个JSESSIOnID=XXXXXXX的COOKIE信息，该COOKIE的过期时间为浏览器会话结束；

接下来客户端每次向同一个网站发送请求时，请求头都会带上该COOKIE信息（包含Session id）；

然后，服务器通过读取请求头中的COOKIE信息，获取名称为JSESSIONID的值，得到此次请求的Session id；

ps：服务器只会在客户端第一次请求响应的时候，在响应头上添加Set-COOKIE：“JSESSIOnID=XXXXXXX”信息，接下来在同一个会话的第二第三次响应头里，是不会添加Set-COOKIE：“JSESSIOnID=XXXXXXX”信息的；

而客户端是会在每次请求头的COOKIE中带上JSESSIONID信息；

举个例子：

以chrome浏览器为例，访问一个基于tomcat服务器的网站的时候，

浏览器第一次访问服务器，服务器会在响应头添加Set-COOKIE：“JSESSIOnID=XXXXXXX”信息，要求客户端设置COOKIE，如下图：

同时我们也可以在浏览器中找到其存储的sessionid信息，如下图

接下来，浏览器第二次、第三次...访问服务器，观察其请求头的COOKIE信息，可以看到JSESSIONID信息存储在COOKIE里，发送给服务器；且响应头里没有Set-COOKIE信息，如下图：

只要浏览器未关闭，在访问同一个站点的时候，其请求头COOKIE中的JSESSIONID都是同一个值，被服务器认为是同一个会话。

再举个简单的例子加深印象，新建个Web工程，并写一个Servlet，在doGet中添加如下代码，主要做如下工作

首先，从session中获取key为count的值，累加，存入session，并打印；

然后，每次从请求中获取打印COOKIE信息，从响应中获取打印Header的Set-COOKIE信息：

  /**
   * @see HttpServlet#doGet(HttpServletRequest request, HttpServletResponse response)
   */
  protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    
    if(request.getSession().getAttribute("count") == null){
      request.getSession().setAttribute("count", 0);
      response.getWriter().write(0+"");
    }else{
      int a = Integer.parseInt(request.getSession().getAttribute("count").toString());
      request.getSession().setAttribute("count", ++a);
      response.getWriter().write(a+"");
    }

    COOKIE[] COOKIEs = request.getCOOKIEs();
    StringBuffer sb = new StringBuffer();
    if(COOKIEs!=null){
      for(COOKIE COOKIE : COOKIEs){
        sb.append(COOKIE.getName()+":"+COOKIE.getValue()+",");
      }
      sb.deleteCharAt(sb.length()-1);
    }

    System.out.println("[第"+(++index)+"次访问]from client request, COOKIEs:" + sb);
    System.out.println("[第"+(index)+"次访问]from server response, header-Set-COOKIE:" + response.getHeader("Set-COOKIE"));;
  }

部署到tomcat后，连续访问该servlet，观察控制台输出，如下，客户端第一次访问服务器的时候，在服务端的响应头里添加了JSESSIONID信息，且接下来客户端的每次访问都会带上该JSESSIONID：

其实这里有一个问题，session劫持

只要用户知道JSESSIONID，该用户就可以获取到JSESSIONID对应的session内容，还是以上面这个例子为例，

我先用IE浏览器访问该站点，比如连续访问了5次，此时，session中的count值为：

查看该会话的Session id，为6A541281A79B24BC290ED3270CF15E32

接下来打开chrome控制台，将IE浏览器获取过来的JSESSIONID信息（“6A541281A79B24BC290ED3270CF15E32”）写入到COOKIE中，如下

接着删除其中的一个，只留下JSESSIONID为“6A541281A79B24BC290ED3270CF15E32”的COOKIE；

刷新页面，发现我们从session获取的count值已经变成6了，说明此次chrome浏览器的请求劫持了IE浏览器会话中的session，

Tomcat中的session实现

Tomcat中一个会话对应一个session，其实现类是StandardSession，查看源码，可以找到一个attributes成员属性，即存储session的数据结构，为ConcurrentHashMap，支持高并发的HashMap实现；

  /**
   * The collection of user data attributes associated with this Session.
   */
  protected Map attributes = new ConcurrentHashMap();

那么，tomcat中多个会话对应的session是由谁来维护的呢？ManagerBase类，查看其代码，可以发现其有一个sessions成员属性，存储着各个会话的session信息：

  /**
   * The set of currently active Sessions for this Manager, keyed by
   * session identifier.
   */
  protected Map sessiOns= new ConcurrentHashMap();

接下来，看一下几个重要的方法，

服务器查找Session对象的方法

客户端每次的请求，tomcat都会在HashMap中查找对应的key为JSESSIONID的Session对象是否存在，可以查看Request的doGetSession方法源码，如下源码：

protected Session doGetSession(boolean create) {

    // There cannot be a session if no context has been assigned yet
    Context cOntext= getContext();
    if (cOntext== null) {
      return (null);
    }

    // Return the current session if it exists and is valid
    if ((session != null) && !session.isValid()) {
      session = null;
    }
    if (session != null) {
      return (session);
    }

    // Return the requested session if it exists and is valid
    Manager manager = context.getManager();
    if (manager == null) {
      return null;    // Sessions are not supported
    }
    if (requestedSessionId != null) {
      try {
        session = manager.findSession(requestedSessionId);
      } catch (IOException e) {
        session = null;
      }
      if ((session != null) && !session.isValid()) {
        session = null;
      }
      if (session != null) {
        session.access();
        return (session);
      }
    }

    // Create a new session if requested and the response is not committed
    if (!create) {
      return (null);
    }
    if ((context != null) && (response != null) &&
      context.getServletContext().getEffectiveSessionTrackingModes().
          contains(SessionTrackingMode.COOKIE) &&
      response.getResponse().isCommitted()) {
      throw new IllegalStateException
       (sm.getString("coyoteRequest.sessionCreateCommitted"));
    }

    // Re-use session IDs provided by the client in very limited
    // circumstances.
    String sessiOnId= getRequestedSessionId();
    if (requestedSessionSSL) {
      // If the session ID has been obtained from the SSL handshake then
      // use it.
    } else if (("/".equals(context.getSessionCOOKIEPath())
        && isRequestedSessionIdFromCOOKIE())) {
      /* This is the common(ish) use case: using the same session ID with
       * multiple web applications on the same host. Typically this is
       * used by Portlet implementations. It only works if sessions are
       * tracked via COOKIEs. The COOKIE must have a path of "/" else it
       * won't be provided to for requests to all web applications.
       *
       * Any session ID provided by the client should be for a session
       * that already exists somewhere on the host. Check if the context
       * is configured for this to be confirmed.
       */
      if (context.getValidateClientProvidedNewSessionId()) {
        boolean found = false;
        for (Container container : getHost().findChildren()) {
          Manager m = ((Context) container).getManager();
          if (m != null) {
            try {
              if (m.findSession(sessionId) != null) {
                found = true;
                break;
              }
            } catch (IOException e) {
              // Ignore. Problems with this manager will be
              // handled elsewhere.
            }
          }
        }
        if (!found) {
          sessiOnId= null;
        }
        sessiOnId= getRequestedSessionId();
      }
    } else {
      sessiOnId= null;
    }
    session = manager.createSession(sessionId);

    // Creating a new session COOKIE based on that session
    if ((session != null) && (getContext() != null)
        && getContext().getServletContext().
            getEffectiveSessionTrackingModes().contains(
                SessionTrackingMode.COOKIE)) {
      COOKIE COOKIE =
        ApplicationSessionCOOKIEConfig.createSessionCOOKIE(
            context, session.getIdInternal(), isSecure());

      response.addSessionCOOKIEInternal(COOKIE);
    }

    if (session == null) {
      return null;
    }

    session.access();
    return session;
  }

先看doGetSession方法中的如下代码，这个一般是第一次访问的情况，即创建session对象，session的创建是调用了ManagerBase的createSession方法来实现的; 另外，注意response.addSessionCOOKIEInternal方法，该方法的功能就是上面提到的往响应头写入“Set-COOKIE”信息；最后，还要调用session.access方法记录下该session的最后访问时间，因为session是可以设置过期时间的；

 session = manager.createSession(sessionId);

    // Creating a new session COOKIE based on that session
    if ((session != null) && (getContext() != null)
        && getContext().getServletContext().
            getEffectiveSessionTrackingModes().contains(
                SessionTrackingMode.COOKIE)) {
      COOKIE COOKIE =
        ApplicationSessionCOOKIEConfig.createSessionCOOKIE(
            context, session.getIdInternal(), isSecure());

      response.addSessionCOOKIEInternal(COOKIE);
    }

    if (session == null) {
      return null;
    }

    session.access();
    return session;

再看doGetSession方法中的如下代码，这个一般是第二次以后访问的情况，通过ManagerBase的findSession方法查找session，其实就是利用map的key从ConcurrentHashMap中拿取对应的value，这里的key即requestedSessionId，也即JSESSIONID，同时还要调用session.access方法，记录下该session的最后访问时间；

    if (requestedSessionId != null) {
      try {
        session = manager.findSession(requestedSessionId);
      } catch (IOException e) {
        session = null;
      }
      if ((session != null) && !session.isValid()) {
        session = null;
      }
      if (session != null) {
        session.access();
        return (session);
      }
    }

在session对象中查找和设置key-value的方法

这个我们一般调用getAttribute/setAttribute方法：

getAttribute方法很简单，就是根据key从map中获取value；

setAttribute方法稍微复杂点，除了设置key-value外，如果添加了一些事件监听（HttpSessionAttributeListener）的话，还要通知执行，如beforeSessionAttributeReplaced， afterSessionAttributeReplaced， beforeSessionAttributeAdded、 afterSessionAttributeAdded。。。

session存在的问题

安全性，session劫持，这个前面已经举过例子了；
增加服务器压力，因为session是直接存储在服务器的内存中的；
如果存在多台服务器的话，还存在session同步问题，当然如果只有一台tomcat服务器的话，也就没有session同步的事情了，然而现在一般的应用都会用到多台tomcat服务器，通过负载均衡，同一个会话有可能会被分配到不同的tomcat服务器，因此很可能出现session不一致问题；解决session同步问题，实际上主要是保证能够抽离出一块共享空间存放session信息，且这块空间不同的tomcat服务器都可以访问到；一般这块共享的空间可以是数据库，或者某台服务器的内存空间，甚至硬盘空间，或者客户端的COOKIE也是可以的；

以上就是本文的全部内容，希望对大家的学习有所帮助，也希望大家多多支持。

推荐阅读

view
Tomcat安装与配置教程及常见问题解决方法

本文介绍了Tomcat的安装与配置教程，包括jdk版本的选择、域名解析、war文件的部署和访问、常见问题的解决方法等。其中涉及到的问题包括403问题、数据库连接问题、1130错误、2003错误、Java Runtime版本不兼容问题以及502错误等。最后还提到了项目的前后端连接代码的配置。通过本文的指导，读者可以顺利完成Tomcat的安装与配置，并解决常见的问题。 ... [详细]

蜡笔小新 2023-12-09 07:28:32
button
【译】发送表单数据

这是原文链接：sendingformdata许多情况下，我们使用表单发送数据到服务器。服务器处理数据并返回响应给用户。这看起来很简单，但是 ... [详细]

蜡笔小新 2023-12-14 16:19:10
button
Centos7.6安装Gitlab教程及注意事项

本文介绍了在Centos7.6系统下安装Gitlab的详细教程，并提供了一些注意事项。教程包括查看系统版本、安装必要的软件包、配置防火墙等步骤。同时，还强调了使用阿里云服务器时的特殊配置需求，以及建议至少4GB的可用RAM来运行GitLab。 ... [详细]

蜡笔小新 2023-12-14 14:01:06
view
禁止程序接收鼠标事件的工具_VNC Viewer for Mac(远程桌面工具)免费版

VNCViewerforMac是一款运行在Mac平台上的远程桌面工具，vncviewermac版可以帮助您使用Mac的键盘和鼠标来控制远程计算机，操作简 ... [详细]

蜡笔小新 2023-12-14 12:55:15
view
Web学习历程记录（七）——Tomcat基本概念和配置

本文介绍了Web学习历程记录中关于Tomcat的基本概念和配置。首先解释了Web静态Web资源和动态Web资源的概念，以及C/S架构和B/S架构的区别。然后介绍了常见的Web服务器，包括Weblogic、WebSphere和Tomcat。接着详细讲解了Tomcat的虚拟主机、web应用和虚拟路径映射的概念和配置过程。最后简要介绍了http协议的作用。本文内容详实，适合初学者了解Tomcat的基础知识。 ... [详细]

蜡笔小新 2023-12-13 17:08:24
view
如何在服务器主机上实现文件共享的方法和工具

本文介绍了在服务器主机上实现文件共享的方法和工具，包括Linux主机和Windows主机的文件传输方式，Web运维和FTP/SFTP客户端运维两种方式，以及使用WinSCP工具将文件上传至Linux云服务器的操作方法。此外，还介绍了在迁移过程中需要安装迁移Agent并输入目的端服务器所在华为云的AK/SK，以及主机迁移服务会收集的源端服务器信息。 ... [详细]

蜡笔小新 2023-12-13 13:23:48
chrome
HTML学习02 图像标签的使用和属性

本文介绍了HTML中图像标签的使用和属性，包括定义图像、定义图像地图、使用源属性和替换文本属性。同时提供了相关实例和注意事项，帮助读者更好地理解和应用图像标签。 ... [详细]

蜡笔小新 2023-12-13 11:31:26
js
Servlet多用户登录时HttpSession会话信息覆盖问题的解决方案

本文讨论了在Servlet多用户登录时可能出现的HttpSession会话信息覆盖问题，并提供了解决方案。通过分析JSESSIONID的作用机制和编码方式，我们可以得出每个HttpSession对象都是通过客户端发送的唯一JSESSIONID来识别的，因此无需担心会话信息被覆盖的问题。需要注意的是，本文讨论的是多个客户端级别上的多用户登录，而非同一个浏览器级别上的多用户登录。 ... [详细]

蜡笔小新 2023-12-10 12:00:40
css
在IDEA中运行CAS服务器的配置方法

本文介绍了在IDEA中运行CAS服务器的配置方法，包括下载CAS模板Overlay Template、解压并添加项目、配置tomcat、运行CAS服务器等步骤。通过本文的指导，读者可以轻松在IDEA中进行CAS服务器的运行和配置。 ... [详细]

蜡笔小新 2023-12-09 09:48:06
css
Nginx Buffer 机制引发的下载故障

Nginx ... [详细]

蜡笔小新 2023-10-17 19:28:42
chrome
markdown [软件代理设置]

本文由编程笔记#小编为大家整理，主要介绍了markdown[软件代理设置]相关的知识，希望对你有一定的参考价值。 ... [详细]

蜡笔小新 2023-10-17 18:19:28
chrome
服务网关与流量网关

一、为什么需要服务网关1、什么是服务网关传统的单体架构中只需要开放一个服务给客户端调用，但是微服务架构中是将一个系统拆分成多个微服务，如果没有网关& ... [详细]

蜡笔小新 2023-10-17 17:57:54
chrome
macOS Big Sur全新设计大版本更新，10+个值得关注的新功能

本文介绍了Apple发布的新一代操作系统macOS Big Sur，该系统采用全新的界面设计，包括图标、应用界面、程序坞和菜单栏等方面的变化。新系统还增加了通知中心、桌面小组件、强化的Safari浏览器以及隐私保护等多项功能。文章指出，macOS Big Sur的设计与iPadOS越来越接近，结合了去年iPadOS对鼠标的完善等功能。 ... [详细]

蜡笔小新 2023-12-10 19:53:41
jquery
如何压缩网站页面以减少页面加载时间

本文介绍了影响网站打开时间的两个因素，即网页加载速度和网站页面大小。重点讲解了如何通过压缩网站页面来减少页面加载时间。具体包括图片压缩、Javascript压缩、CSS压缩和HTML压缩等方法，并推荐了相应的压缩工具。此外，还提到了一款Google Chrome插件——网页加载速度分析工具Speed Tracer。 ... [详细]

蜡笔小新 2023-12-09 09:17:00
chrome
Kali Linux 简介

KaliLinux是世界渗透测试行业公认的优秀的网络安全审计工具集合，它可以通过对设备的探测来审计其安全性，而且功能完备，几乎包含了目前所 ... [详细]

蜡笔小新 2023-10-17 18:39:24

凯鹏2502896277

这个家伙很懒，什么也没留下！

Tags | 热门标签

RankList | 热门文章