`

Session机制详解(二)

    博客分类:
  • web
阅读更多

原文 http://tech.it168.com/j/2006-07-19/200607191220593_1.shtml

 

下面就是一个goolge设置cookie的响应头的例子

    HTTP/1.1 302 Found
    Location: http://www.google.com/intl/zh-CN/
    Set-Cookie: PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8; 
    expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
    Content-Type: text/html



    这是使用HTTPLook这个HTTP Sniffer软件来俘获的HTTP通讯纪录的一部分:
 

    浏览器在再次访问goolge的资源时自动向外发送cookie:


    使用Firefox可以很容易的观察现有的cookie的值,使用HTTPLook配合Firefox可以很容易的理解cookie的工作原理。
 

    IE也可以设置在接受cookie前询问:


    这是一个询问接受cookie的对话框。

    四、理解session机制

    session机制是一种服务器端的机制,服务器使用一种类似于散列表的结构(也可能就是使用散列表)来保存信息。 

    当程序需要为某个客户端的请求创建一个session的时候,服务器首先检查这个客户端的请求里是否已包含了一个session标识 - 称为session id,如果已包含一个session id则说明以前已经为此客户端创建过session,服务器就按照session id把这个session检索出来使用(如果检索不到,可能会新建一个),如果客户端请求不包含session id,则为此客户端创建一个session并且生成一个与此session相关联的session id,session id的值应该是一个既不会重复,又不容易被找到规律以仿造的字符串,这个session id将被在本次响应中返回给客户端保存。 

    保存这个session id的方式可以采用cookie,这样在交互过程中浏览器可以自动的按照规则把这个标识发挥给服务器。一般这个cookie的名字都是类似于 SEEESIONID,而。比如weblogic对于web应用程序生成的 cookie,JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764, 它的名字就是JSESSIONID。 

    由于cookie可以被人为的禁止,必须有其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一种技术叫做URL重写,就是把session id直接附加在URL路径的后面,附加方式也有两种,一种是作为URL路径的附加信息,表现形式为http://..... /xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一种是作为查询字符串附加在URL后面,表现形式为http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
这两种方式对于用户来说是没有区别的,只是服务器在解析的时候处理的方式不同,采用第一种方式也有利于把session id的信息和正常程序参数区分开来。
为了在整个交互过程中始终保持状态,就必须在每个客户端可能请求的路径后面都包含这个session id。 

    另一种技术叫做表单隐藏字段。就是服务器会自动修改表单,添加一个隐藏字段,以便在表单提交时能够把session id传递回服务器。比如下面的表单: 
   
     <form name="testform" action="/xxx"> 
    <input type="text"> 
    </form> 

    在被传递给客户端之前将被改写成: 

    <form name="testform" action="/xxx"> 
    <input type="hidden" name="jsessionid" value="ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764"> 
    <input type="text"> 
    </form>

    这种技术现在已较少应用,笔者接触过的很古老的iPlanet6(SunONE应用服务器的前身)就使用了这种技术。
实际上这种技术可以简单的用对action应用URL重写来代替。 

    在谈论session机制的时候,常常听到这样一种误解“只要关闭浏览器,session就消失了”。其实可以想象一下会员卡的例子,除非顾客主动对店家 提出销卡,否则店家绝对不会轻易删除顾客的资料。对session来说也是一样的,除非程序通知服务器删除一个session,否则服务器会一直保留,程 序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会主动在关闭之前通知服务器它将要关闭,因此服务器根本不会有机会知道浏览器已经关闭,之所 以会有这种错觉,是大部分session机制都使用会话cookie来保存session id,而关闭浏览器后这个session id就消失了,再次连接服务器时也就无法找到原来的session。如果服务器设置的cookie被保存到硬盘上,或者使用某种手段改写浏览器发出的 HTTP请求头,把原来的session id发送给服务器,则再次打开浏览器仍然能够找到原来的session。 

    恰恰是由于关闭浏览器不会导致session被删除,迫使服务器为seesion设置了一个失效时间,当距离客户端上一次使用session的时间超过这个失效时间时,服务器就可以认为客户端已经停止了活动,才会把session删除以节省存储空间。 

    五、理解javax.servlet.http.HttpSession  

    HttpSession是Java平台对session机制的实现规范,因为它仅仅是个接口,具体到每个web应用服务器的提供商,除了对规范支持之外, 仍然会有一些规范里没有规定的细微差异。这里我们以BEA的Weblogic Server8.1作为例子来演示。 

    首先,Weblogic Server提供了一系列的参数来控制它的HttpSession的实现,包括使用cookie的开关选项,使用URL重写的开关选项,session持 久化的设置,session失效时间的设置,以及针对cookie的各种设置,比如设置cookie的名字、路径、域,cookie的生存时间等。 

    一般情况下,session都是存储在内存里,当服务器进程被停止或者重启的时候,内存里的session也会被清空,如果设置了session的持久化 特性,服务器就会把session保存到硬盘上,当服务器进程重新启动或这些信息将能够被再次使用,Weblogic Server支持的持久性方式包括文件、数据库、客户端cookie保存和复制。 

    复制严格说来不算持久化保存,因为session实际上还是保存在内存里,不过同样的信息被复制到各个cluster内的服务器进程中,这样即使某个服务器进程停止工作也仍然可以从其他进程中取得session。 

    cookie生存时间的设置则会影响浏览器生成的cookie是否是一个会话cookie。默认是使用会话cookie。有兴趣的可以用它来试验我们在第四节里提到的那个误解。 

    cookie的路径对于web应用程序来说是一个非常重要的选项,Weblogic Server对这个选项的默认处理方式使得它与其他服务器有明显的区别。后面我们会专题讨论。 

    关于session的设置参考[5] http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869

分享到:
评论

相关推荐

    Cookie、Session机制详解.doc

    Cookie、Session机制详解 Cookie机制是Web程序中常用的技术,用来跟踪用户的整个会话。Cookie通过在客户端记录信息确定用户身份。Cookie机制可以弥补HTTP协议的无状态特性,使服务器可以从客户端获取用户信息,以便...

    Cookie与session机制详解

    ### Cookie与Session机制详解 #### 一、Cookie与Session的概念及区别 在Web开发中,为了保持用户的状态信息,通常会用到两种技术:Cookie和Session。这两种技术都是用来跟踪用户的浏览活动,但它们的工作原理有所...

    Servlet Session机制详解

    Servlet Session机制详解,如题,详细描述Session的原理,及使用方法,附部分代码

    Cookie-Session机制详解.docx

    Cookie-Session 机制详解 Cookie 机制是 Web 程序中常用的技术,用来跟踪用户的整个会话。Cookie 通过在客户端记录信息确定用户身份。Cookie 的工作原理是当客户端请求服务器,如果服务器需要记录该用户状态,就...

    Cookie-Session机制详解.txt

    ### Cookie-Session机制详解 #### 一、引言 在Web开发中,为了实现服务器与客户端之间的会话管理,常用的技术之一就是Cookie-Session机制。本文将深入剖析Cookie-Session的工作原理及其在实际应用中的作用。 ####...

    session机制详解

    目录: 一、术语session 二、HTTP协议与状态保持 三、理解cookie机制 ...四、理解session机制 五、理解javax.servlet.http.HttpSession 六、HttpSession常见问题 七、跨应用程序的session共享 八、总结

    Session机制详解(jsp-servlet_技术)文.pdf

    【Session机制详解】 Session机制是Web应用程序中用于保持客户端与服务器之间状态的一种技术。在HTTP协议下,由于其无状态的特性,每次请求之间是相互独立的,这意味着服务器无法识别同一用户的不同请求。为了实现...

    Cookie机制和Session机制

    #### 五、Session机制详解 - **定义**:Session机制是一种服务器端状态管理技术,服务器为每个用户会话分配一个唯一的会话ID,并在服务器内存中维护该会话的相关数据。 - **工作原理**: - 服务器为每个新会话生成...

    跨服务器session应用详解

    在Web开发中,session机制是一种至关重要的技术,它允许服务器在多个请求之间跟踪用户的状态,从而实现动态交互和个性化服务。本文将深入探讨session的工作原理,以及如何在Java Web应用程序中有效地应用session,...

    Session详解

    #### Session机制详解 Session机制的核心是服务器为每个用户会话创建和维护一个唯一的会话对象。每当用户发起一个新的请求,服务器根据请求头中的会话标识符检索或创建相应的会话对象,并从中读取或更新状态信息。...

    Session详解.doc

    Session机制是现代Web应用程序中的一个重要组成部分,它为服务器提供了维持客户端状态的能力,从而使得服务器能够提供个性化的服务。虽然Cookie和Session机制都能实现状态保持的功能,但它们各有优缺点。开发者应该...

    Jsp_Session详解.

    最后,文章还讨论了跨应用程序的Session共享问题,并在总结中指出,尽管Session机制有其局限性,但它仍然是Web应用中不可或缺的技术之一。在学习和应用Session机制时,开发者需要清晰理解其原理和最佳实践,以确保...

    Cookie,Session,Token详解.pdf

    根据提供的文件信息,以下是对文件《Cookie,Session,Token详解.pdf》中知识点的详细解读: 1. Cookie的相关知识 1.1 Cookie不是缓存。它是由服务器创建并存储在客户端的一小段文本信息,通常以字典(键值对)的...

    php5的session详解.doc

    在Web应用程序中,Session是指用户与服务器端之间的一系列交互过程,通过Session机制,可以实现在多个页面之间传递变量、记录用户信息、实现用户身份认证等功能。 Session的实现: Session的实现中采用COOKIE技术...

    Session详解(主要讲Session跟Cookic区别)

    Session机制通过为每个用户创建并维护一个唯一标识符(即Session ID)来实现状态保持。关键特性如下: - **唯一性**:每个Session ID对应一个特定的用户会话。 - **安全性**:因为Session数据存储在服务器端,所以...

    jsp中session的用法详解

    "jsp中session的用法详解" jsp 中 session 的使用方法可以帮助开发者追踪用户的操作过程,而不需要担心追踪的实现细节。Session 是一种服务器端的机制,用于存储用户的信息,以便在多个页面之间共享数据。 在 jsp ...

    Cookie与Session机制

    ### Cookie与Session机制详解 #### 一、引言 随着互联网技术的发展,用户与Web应用之间的交互变得越来越频繁。为了确保用户体验的连续性和个性化服务,Web应用需要有能力识别不同的用户并跟踪他们的活动。然而,...

    session详解

    在讨论session机制之前,有必要先澄清“session”这一术语的不同含义。在IT领域尤其是Web开发中,“session”的概念常常被提及,但其确切含义却因上下文的不同而有所变化。 1. **基本含义**:“session”通常指的是...

Global site tag (gtag.js) - Google Analytics