`
刘琛颖
  • 浏览: 50288 次
  • 性别: Icon_minigender_1
  • 来自: 成都
最近访客 更多访客>>
社区版块
存档分类
最新评论

Tomcat的Session管理(一) - Session的生成

阅读更多

Session对象的创建一般是源于这样的一条语句:
Session session = request.getSession(false);或者Session session = request.getSession();如果不在乎服务器压力可能多那么一点点的话。

在Tomcat的实现中,这个request是org.apache.catalina.connector.Request类的包装类org.apache.catalina.connector.RequestFacade的对象,它的两个#getSession()方法如下:

    public HttpSession getSession(boolean create) {
        if (request == null) {
            throw new IllegalStateException(
                            sm.getString("requestFacade.nullRequest"));
        }

        if (SecurityUtil.isPackageProtectionEnabled()){
            return (HttpSession)AccessController.
                doPrivileged(new GetSessionPrivilegedAction(create));
        } else {
            return request.getSession(create);
        }
    }

 

    public HttpSession getSession() {
        if (request == null) {
            throw new IllegalStateException(
                            sm.getString("requestFacade.nullRequest"));
        }

        return getSession(true);
    }



其实差不太多,最后都会进入org.apache.catalina.connector.Request的#getSession()方法。这个方法的源代码如下:

    public HttpSession getSession(boolean create) {
        Session session = doGetSession(create);
        if (session != null) {
            return session.getSession();
        } else {
            return null;
        }
    }



然后调用就到了#doGetSession()这个方法了。源代码如下

	protected Session doGetSession(boolean create) {
		// 没有Context的话直接返回null
		if (context == null)
			return (null);

		// 判断Session是否有效
		if ((session != null) && !session.isValid())
			session = null;
		if (session != null)
			return (session);

		// 返回Manager对象,这里是StandardManager类的对象
		Manager manager = null;
		if (context != null)
			manager = context.getManager();
		if (manager == null)
			return (null); // Sessions are not supported
		// 判断是否有SessionID
		if (requestedSessionId != null) {
			try {
				// 在Manager中根据SessionID查找Session
				session = manager.findSession(requestedSessionId);
			} catch (IOException e) {
				session = null;
			}
			if ((session != null) && !session.isValid())
				session = null;
			if (session != null) {
				// 更新访问时间
				session.access();
				return (session);
			}
		}

		// 创建新的Session
		if (!create)
			return (null);
		if ((context != null) && (response != null) && context.getCookies()
				&& response.getResponse().isCommitted()) {
			throw new IllegalStateException(sm.getString("coyoteRequest.sessionCreateCommitted"));
		}

		// 判断是否使用 "/" 作为Session Cookie的存储路径 并且 是否SessionID来自Cookie
		if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {
			// 创建Session
			session = manager.createSession(getRequestedSessionId());
		} else {
			session = manager.createSession(null);
		}

		// 创建一个新的Session Cookies
		if ((session != null) && (getContext() != null) && getContext().getCookies()) {
			Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, session.getIdInternal());
			// 配置Session Cookie
			configureSessionCookie(cookie);
			// 在响应中加入Session Cookie
			response.addCookieInternal(cookie);
		}

		if (session != null) {
			// 更新访问时间
			session.access();
			return (session);
		} else {
			return (null);
		}

	}


这个方法说明了Session创建的大致过程,首先判断requestedSessionId是否存在,如果存在,那么根据这个ID去查找Session对象。如果requestedSessionId不存在或者没有取到Session,并且传递给#getSession(boolean)的参数为真,那么要创建一个新的Session,并且给客户端写回去一个Session Cookie。

首先,我感兴趣的是requestedSessionId的赋值,它到底是什么时候被赋值的呢?

还要向回看Tomcat的请求处理过程,请求曾到过这一步,org.apache.catalina.connector.CoyoteAdapter的#service()方法。里边有这样一句方法调用:postParseRequest(req, request, res, response)。就是这一步处理了SessionID的获取,这个方法调用了#parseSessionId()和parseSessionCookiesId()这两个方法,就是它对Session ID进行了提取,源代码分别如下:

	protected void parseSessionId(org.apache.coyote.Request req, Request request) {

		ByteChunk uriBC = req.requestURI().getByteChunk();
		// 判断URL中是不是有";jsessionid="这个字符串
		int semicolon = uriBC.indexOf(match, 0, match.length(), 0);

		if (semicolon > 0) {
			// Parse session ID, and extract it from the decoded request URI
			// 在URL中提取Session ID
			int start = uriBC.getStart();
			int end = uriBC.getEnd();

			int sessionIdStart = semicolon + match.length();
			int semicolon2 = uriBC.indexOf(';', sessionIdStart);
			if (semicolon2 >= 0) {
				request.setRequestedSessionId(new String(uriBC.getBuffer(), start + sessionIdStart,
						semicolon2 - sessionIdStart));
				byte[] buf = uriBC.getBuffer();
				for (int i = 0; i < end - start - semicolon2; i++) {
					buf[start + semicolon + i] = buf[start + i + semicolon2];
				}
				uriBC.setBytes(buf, start, end - start - semicolon2 + semicolon);
			} else {
				request.setRequestedSessionId(new String(uriBC.getBuffer(), start + sessionIdStart,
						(end - start) - sessionIdStart));
				uriBC.setEnd(start + semicolon);
			}
			// 设定Session ID来自于URL
			request.setRequestedSessionURL(true);

		} else {
			request.setRequestedSessionId(null);
			request.setRequestedSessionURL(false);
		}

	}

 

	protected void parseSessionCookiesId(org.apache.coyote.Request req, Request request) {
		Context context = (Context) request.getMappingData().context;
		if (context != null && !context.getCookies())
			return;

		// 返回Cookie
		Cookies serverCookies = req.getCookies();
		int count = serverCookies.getCookieCount();
		if (count <= 0)
			return;

		for (int i = 0; i < count; i++) {
			ServerCookie scookie = serverCookies.getCookie(i);
			// 判断是否有JSESSIONID这个名字的Cookie
			if (scookie.getName().equals(Globals.SESSION_COOKIE_NAME)) {
				// Override anything requested in the URL
				if (!request.isRequestedSessionIdFromCookie()) {
					// 设定Session ID
					convertMB(scookie.getValue());
					request.setRequestedSessionId(scookie.getValue().toString());
					// 如果之前在URL中读到了SessionID,那么会覆盖它
					request.setRequestedSessionCookie(true);
					request.setRequestedSessionURL(false);
					if (log.isDebugEnabled())
						log.debug(" Requested cookie session id is " + request.getRequestedSessionId());
				} else {
					if (!request.isRequestedSessionIdValid()) {
						convertMB(scookie.getValue());
						request.setRequestedSessionId(scookie.getValue().toString());
					}
				}
			}
		}

	}


Tomcat就是通过上边的两个方法读到URL或者Cookie中存放的Session ID的。

了解了Session ID的获取,下面要看一下Session的查找过程,就是org.apache.catalina.session.StandardManager的#findSession()方法。这个方法是在它的基类中定义的,源代码如下:

    public Session findSession(String id) throws IOException {
        if (id == null)
            return (null);
        return (Session) sessions.get(id);
    }


代码很短,其中sessions是一个ConcurrentHashMap<String, Session>对象。那么这个sessions的对象是什么时候载入的Session呢?

启动的时候!可以看一下StandardManager#start()方法。最后调用了#load()方法,这个就是载入Session的方法了:

	public void load() throws ClassNotFoundException, IOException {
		if (SecurityUtil.isPackageProtectionEnabled()) {
			try {
				AccessController.doPrivileged(new PrivilegedDoLoad());
			} catch (PrivilegedActionException ex) {
				Exception exception = ex.getException();
				if (exception instanceof ClassNotFoundException) {
					throw (ClassNotFoundException) exception;
				} else if (exception instanceof IOException) {
					throw (IOException) exception;
				}
				if (log.isDebugEnabled())
					log.debug("Unreported exception in load() " + exception);
			}
		} else {
			doLoad();
		}
	}


最后调用了#doLoad()方法来具体的载入Session,源代码如下: 

	protected void doLoad() throws ClassNotFoundException, IOException {
		if (log.isDebugEnabled())
			log.debug("Start: Loading persisted sessions");

		// 清空Map
		sessions.clear();

		// 对应work/Catalina/localhost/%app name%/SESSIONS.ser文件
		File file = file();
		if (file == null)
			return;
		if (log.isDebugEnabled())
			log.debug(sm.getString("standardManager.loading", pathname));
		FileInputStream fis = null;
		ObjectInputStream ois = null;
		Loader loader = null;
		ClassLoader classLoader = null;
		try {
			// 载入Session缓存文件
			fis = new FileInputStream(file.getAbsolutePath());
			BufferedInputStream bis = new BufferedInputStream(fis);
			if (container != null)
				loader = container.getLoader();
			if (loader != null)
				classLoader = loader.getClassLoader();
			if (classLoader != null) {
				if (log.isDebugEnabled())
					log.debug("Creating custom object input stream for class loader ");
				ois = new CustomObjectInputStream(bis, classLoader);
			} else {
				if (log.isDebugEnabled())
					log.debug("Creating standard object input stream");
				ois = new ObjectInputStream(bis);
			}
		} catch (FileNotFoundException e) {
			if (log.isDebugEnabled())
				log.debug("No persisted data file found");
			return;
		} catch (IOException e) {
			log.error(sm.getString("standardManager.loading.ioe", e), e);
			if (ois != null) {
				try {
					ois.close();
				} catch (IOException f) {
					;
				}
				ois = null;
			}
			throw e;
		}

		synchronized (sessions) {
			try {
				// 读出Session个数
				Integer count = (Integer) ois.readObject();
				int n = count.intValue();
				if (log.isDebugEnabled())
					log.debug("Loading " + n + " persisted sessions");
				//  读入Session
				for (int i = 0; i < n; i++) {
					StandardSession session = getNewSession();
					session.readObjectData(ois);
					session.setManager(this);
					sessions.put(session.getIdInternal(), session);
					session.activate();
					sessionCounter++;
				}
			} catch (ClassNotFoundException e) {
				log.error(sm.getString("standardManager.loading.cnfe", e), e);
				if (ois != null) {
					try {
						ois.close();
					} catch (IOException f) {
						;
					}
					ois = null;
				}
				throw e;
			} catch (IOException e) {
				log.error(sm.getString("standardManager.loading.ioe", e), e);
				if (ois != null) {
					try {
						ois.close();
					} catch (IOException f) {
						;
					}
					ois = null;
				}
				throw e;
			} finally {
				try {
					if (ois != null)
						ois.close();
				} catch (IOException f) {
				}

				// 删除Session缓存文件
				if (file != null && file.exists())
					file.delete();
			}
		}

		if (log.isDebugEnabled())
			log.debug("Finish: Loading persisted sessions");
	}


大致知道了Session的读取过程,后面就是Session没找到时创建Session的过程了。具体就是org.apache.catalina.session.StandardManager的#createSession()方法:

	public Session createSession(String sessionId) {
		if ((maxActiveSessions >= 0) && (sessions.size() >= maxActiveSessions)) {
			rejectedSessions++;
			throw new IllegalStateException(sm.getString("standardManager.createSession.ise"));
		}
		return (super.createSession(sessionId));
	}


最后调用到了它的基类的#createSession()方法了。

	public Session createSession(String sessionId) {
		// 创建一个新的Session
		Session session = createEmptySession();

		// 初始化Session的属性
		session.setNew(true);
		session.setValid(true);
		session.setCreationTime(System.currentTimeMillis());
		session.setMaxInactiveInterval(this.maxInactiveInterval);
		// 如果Session ID为null,那么就生成一个
		if (sessionId == null) {
			sessionId = generateSessionId();
		}
		session.setId(sessionId);
		sessionCounter++;

		return (session);

	}


通过上述过程,一个新的Session就创建出来了。

分享到:
评论

相关推荐

    Tomcat8亲测可用 tomcat-redis-session-manager的jar包

    标题中的“Tomcat8亲测可用 tomcat-redis-session-manager的jar包”指的是一个专为Tomcat8设计的,用于管理session的扩展组件。这个组件实现了将Tomcat应用服务器中的用户session数据存储到Redis分布式缓存系统中,...

    tomcat-redis-session-manager-master.jar

    自己通过源码编译后的jar包,已实验可以正常使用

    tomcat-redis-session-manager实现session共享 配置文件

    1. **Session创建与更新**:当用户请求到达服务器时,如果创建或更新Session,Tomcat-Redis-Session-Manager会将Session对象序列化为字节数组,然后存储到Redis中,键为服务器生成的唯一Session ID。 2. **Session...

    tomcat-redis-session-manager源码

    首先,我们来看`Tomcat-Redis-Session-Manager`的核心功能:它将Tomcat默认的内存会话管理替换为基于Redis的分布式会话管理。这主要涉及两个关键组件:`RedisSessionManager`和`RedisSessionHandlerWrapper`。 `...

    tomcat-redis-session-manager-master.zip

    Tomcat作为广泛使用的Java应用服务器,其session管理机制是开发者必须掌握的关键技能之一。本文将围绕“tomcat-redis-session-manager-master.zip”这个压缩包中的源码,深入探讨如何使用Redis实现Tomcat的session...

    tomcat8 tomcat-redis-session-manager

    tomcat8下 tomcat-redis-session-manager , github上有源码,其他版本都有打好的jar包,tomcat 8 下没有,下载源码生成了一个。

    tomcat-redis-session-manager 支持 tomcat7 ,包含源码和jar

    首先,"tomcat-redis-session-manager"是专为Tomcat设计的一个session管理器,用于将Tomcat的session数据持久化到Redis缓存服务器上。这使得session可以在多台Tomcat服务器之间共享,实现了session复制和故障转移,...

    tomcat8+memcached session共享

    7. `memcached-session-manager-tc8-1.8.3.jar`:这个是针对Tomcat 8版本的session管理器实现,确保与Tomcat 8的兼容性。 8. `minlog-1.2.jar`:这是一个简单的日志库,可能用于在处理session共享时记录和调试信息。...

    omcat-redis-session-manager的jar包-包含Tomcat7和Tomcat8

    描述提到的是一个基于"tomcat-redis-session-manager"源码编译生成的jar包,这意味着开发者或系统管理员可以直接将这个jar包引入到他们的Tomcat环境中,无需自己从源代码构建。压缩包内包含了针对Tomcat7和Tomcat8两...

    tomcat-cluster-session-sync-exp:tomcat使用了自带会话同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了tomcat自带会话同步功能的服务器进行攻击。

    这是一个tomcat使用了自带会话同步功能时,不安全的配置(没有使用EncryptInterceptor)导致存在的反序列化漏洞,通过精心构造的数据包,可以对使用了tomcat自带会话同步功能的服务器进行攻击。 使用 先编译出jar包...

    redis+tomcat实现session的jar

    根据压缩包子文件的文件名称"tomcat-redis-session-manage-tomcat7",可以推断出这是一个针对Tomcat7的Redis session管理模块。这个模块可能包含以下组件: 1. **Redis连接器**:负责建立和管理Tomcat与Redis服务器...

    tomcat做session共享需要的全部jar包

    4. **Memcached-Session-Manager**: 这是一个针对Tomcat的Memcached Session管理器,允许将Session数据存储在分布式缓存系统Memcached中。这样,多个Tomcat实例可以访问同一份Session数据,实现Session共享。...

    apache-tomcat-7.0.47-memcached-各种序列化策略-session共享

    Memcached,作为一个高性能、分布式的内存对象缓存系统,常被用来解决这个问题,而Tomcat作为流行的Java应用服务器,通过集成Memcached,可以有效地在集群节点之间共享Session数据。 首先,我们需要理解Session的...

    tomcat-8.5.50-windows-x64.zip

    Apache Tomcat是一款开源的Java应用服务器,主要用于运行Java Servlet和JavaServer Pages(JSP)应用程序。这个"tomcat-8.5.50-windows-x64.zip"是针对64位Windows系统的Tomcat 8.5.50版本的可立即使用的压缩包,...

    Tomcat-9.0-API

    5. **会话管理(Session Management)**:Tomcat支持基于HTTP的会话管理,允许用户在多个请求之间保持状态。`javax.servlet.http.HttpSession`接口及其相关的类和方法,如`getSession()`和`setAttribute()`,在API...

    tomcat6+session+memcached

    【标题】"tomcat6+session+memcached" 涉及的知识点主要集中在Web服务器Tomcat6的配置与使用,以及如何通过Memcached实现Session的共享存储。 【描述】"jdk7+tomcat6+memcached。依赖包" 提示了这个环境是基于Java ...

    Tomcat-7.0-doc

    标题"Tomcat-7.0-doc"表明这是一份关于Tomcat 7.0版本的文档,通常这样的文档会包含服务器的配置、管理、部署以及相关的API参考信息。Tomcat是一个非常流行的开源Java Servlet容器,它实现了Java EE(现在称为...

    Nginx 集群 tomcat session 共享配置有源码

    2. Tomcat:作为Java应用服务器,处理业务逻辑和用户请求,生成并管理session。 3. Redis:作为分布式内存数据库,存储各个Tomcat实例产生的session,确保所有实例都能访问同一份session数据。 实现Nginx和Tomcat...

    tomcat7 通过memcache 实现 session共享依赖包

    这是一个技术解决方案,通常在分布式环境中,当有多个Tomcat实例运行时,session共享可以保证用户在不同服务器之间切换时仍能保持登录状态和个性化设置。 描述中提到,虽然这种实现方式在当前生产环境中可能不常用...

Global site tag (gtag.js) - Google Analytics