HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。
服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。
我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。
这里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾 客,作为取包凭证(这个号码牌就是Session ID)。顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP Response)都要重新提醒顾客记住自己的号码牌(Session ID)。这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。
我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。
我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/)。这里只做一个简单的介绍。
在Java Web Server(即Servlet/JSP Server)中,Session ID用jsessionid表示(请参见Servlet规范)。
HTTP Request一般由3部分组成:
(1)Request Line
这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。
例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1
GET http://www.google.com/search?q=Tomcat HTTP/1.1
POST http://www.google.com/search HTTP/1.1
GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1
(2)Request Headers
这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如:
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001
(3)Message Body
如果HTTP Method是GET,那么Message Body为空。
如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,
那么Message Body为HTML Form里面定义的Input属性。例如,
user=guest
password=guest
jsessionid=1001
主意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于
http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001
从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。
一般用来实现Session的方法有两种:
(1)URL重写。
Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。
下一次,用户访问这个页面中的URL。jsessionid就会传回到Web Server。
(2)Cookie。
如果客户端支持Cookie,Web Server在返回Response的时候,在Response的Header部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。
客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。
我们来看Tomcat5的源代码如何支持jsessionid。
org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。
String toEncoded(String url, String sessionId) {
…
StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can't be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}
我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie()
doGetSession()用Cookie支持jsessionid.
/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
…
}
HttpSession doGetSession(boolean create){
…
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}
…
}
Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证
分享到:
相关推荐
HTTP基础知识培训是一场针对IT行业测试领域的专业课程,旨在帮助团队成员掌握HTTP协议的基本知识和实践应用。培训内容广泛,涵盖了从基础的HTTP协议概述到请求/响应模型,再到各种请求方法和状态码,以及HTTP协议在...
本篇将深入探讨HTTP基础类及其在编程中的应用。 HTTP协议的核心概念包括请求(Request)和响应(Response)。请求由客户端发起,包含一个方法(GET、POST等)、一个URL、HTTP版本、请求头部以及可能的请求体。响应...
【HTTP基础】 HTTP(Hypertext Transfer Protocol)是互联网上的应用最广泛的一种网络协议,用于从万维网服务器传输超文本到本地浏览器的传输协议。HTTP是无状态的,意味着每个请求都被视为独立的事务,服务器不会...
下面将通过分析标题和描述中的8张脑图,逐一探讨HTTP的基础知识。 1. **客户端和服务器端交互基础**: 这一脑图可能涵盖了HTTP请求和响应的基本结构,包括请求方法(GET、POST等)、请求头、请求体以及响应状态码...
本篇文章主要介绍了 HTTP 基础知识,包括 HTTP 的基本概念、Get 与 Post、HTTP 特性、HTTPS 与 HTTP、HTTP/1.1、HTTP/2、HTTP/3 演变等。 HTTP 基本概念 ---------------- HTTP 是超文本传输协议,英文全称为 ...
HTTPS(安全超文本传输协议)是在HTTP基础上加入了SSL/TLS加密层,以保证数据传输的安全性。在Java中,`javax.net.ssl.HttpsURLConnection`类可以处理HTTPS连接,同时需要配置信任的证书和密钥。理解HTTPS的工作原理...
- HTTPS(HTTP over SSL/TLS):在HTTP基础上增加了SSL/TLS安全协议,提供数据加密、服务器身份验证和消息完整性检查,确保数据传输的安全性。 6. NIO(Non-blocking I/O) Java 1.4引入了NIO,提供了非阻塞I/O...
在互联网上,HTTP(Hypertext Transfer Protocol)是应用层的主要协议,用于浏览器和服务器之间的通信,而HTTPS(HTTP over Secure Socket Layer)是在HTTP基础上增加了SSL/TLS加密,用于保护用户数据的安全。...
1. HTTPS(超文本传输安全协议)是在HTTP基础上加入SSL/TLS加密,提供数据传输的安全性。证书和公钥基础设施(PKI)是HTTPS安全的关键,确保了服务器身份的验证和数据的加密。 四、TCP与UDP 1. TCP是一种面向连接的...
3. **HTTP与HTTPS**:HTTP是超文本传输协议,用于在Web上进行数据交换,而HTTPS是在HTTP基础上加入SSL/TLS安全协议,提供加密传输和身份认证,确保数据的安全性。掌握如何使用C#的HttpWebRequest和HttpWebResponse类...
HTTP与FTP协议基础
1. HTTP基础:包括HTTP方法(GET、POST、PUT、DELETE等),状态码及其含义,以及HTTP报文结构。 2. 请求与响应:解析请求头、响应头,理解Cookie、Session的使用,以及如何处理重定向和缓存。 3. 连接管理:了解持久...
#### 三、HTTP基础知识 - **第1章:什么是HTTP?** - **HTTP的历史与目的:** 介绍了HTTP协议的发展历程及其在Web中的作用。 - **第2章:互联网与万维网** - **互联网概述:** 讨论了互联网的基本概念和技术。 ...
【描述】"JavaWeb程序设计入门课件HTTP协议共9页.pdf.zip" 指出这是一个压缩文件,其中包含9页关于HTTP协议的PDF文档,可能是详细讲解上述概念的课件,适合初学者快速掌握JavaWeb开发中的HTTP基础知识。 【标签】...
总结来说,这个实验涵盖了HTTP基础、多线程Web服务器的实现以及Java RMI的应用,这些都是构建复杂网络应用程序的基础。每个部分都至关重要,理解和掌握它们对于成为一名合格的IT专业人士至关重要。通过实践,你可以...
Python网络编程基础是入门Python网络应用开发的重要领域,它涵盖了从基本的网络概念到复杂的网络交互技术。在Python中,网络编程主要涉及TCP/IP协议、HTTP协议、套接字编程、Web服务API调用等多个方面。下面将详细...
如今互联网发展日新月异,HTTP/1.1 协议已经难以承载日益复杂的网页内容,因此 HTTP/2 值得尝试。本书介绍了 HTTP/2 的设计初衷和新特性,对比了在不同网络环境下以及不同浏览器 上 HTTP/1.1 与 HTTP/2 的性能表现...
总结,"简单的Http方式服务器与Android客户端的交互Demo"涵盖了HTTP基础,服务器端与Android客户端的通信机制,以及如何在实际应用中实现这一交互。通过理解和实践这些知识点,开发者能够创建功能完善的网络应用,...
- **HTTPS**(HTTP Secure):安全的超文本传输协议,在HTTP的基础上加入了SSL/TLS加密层,保证数据传输的安全性。 3. **DNS(Domain Name System)域名系统**: - **作用**:将易于记忆的域名转换为计算机可识别...