`

[摘]Session实现原理

阅读更多
Session实现原理     

http://blog.csdn.net/hql638/archive/2006/07/04/874774.aspx
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。
服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。
我们看到,HTTP协议本身并不能支持服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。
这里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾客,作为取包凭证(这个号码牌就是Session ID)。顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP Response)都要重新提醒顾客记住自己的号码牌(Session ID)。这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。 我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。

我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/)。这里只做一个简单的介绍。
在Java Web Server(即Servlet/JSP Server)中,Session ID用jsessionid表示(请参见Servlet规范)。
HTTP Request一般由3部分组成:
(1)Request Line
这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。
例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1
GET http://www.google.com/search?q=Tomcat HTTP/1.1
POST http://www.google.com/search HTTP/1.1
GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1

(2)Request Headers
这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如:
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001

(3)Message Body
如果HTTP Method是GET,那么Message Body为空。
如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,
那么Message Body为HTML Form里面定义的Input属性。例如,
user=guest
password=guest
jsessionid=1001
主意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于
http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001

从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。
一般用来实现Session的方法有两种:
(1)URL重写。
Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。
下一次,用户访问这个页面中的URL。jsessionid就会传回到Web Server。
(2)Cookie。
如果客户端支持Cookie,Web Server在返回Response的时候,在Response的Header部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。
客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。

我们来看Tomcat5的源代码如何支持jsessionid。
org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。
String toEncoded(String url, String sessionId) {
…
StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can't be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}

我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie()
doGetSession()用Cookie支持jsessionid.

/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
…
}

HttpSession doGetSession(boolean create){
…
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}
…
}

Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证
分享到:
评论

相关推荐

    php摘菜php摘菜php摘菜php摘菜

    开发者可以通过阅读和修改源代码来理解游戏的工作原理,甚至定制或扩展其功能。 开发这样一个农场游戏,PHP可能会涉及到以下知识点: 1. **Web框架**:如Laravel、CodeIgniter或Yii,它们提供了结构化的开发环境,...

    BBS论坛的设计与实现(ASP)含论文

    摘 要 4 Abstract 4 1绪论 5 1.1BBS的发展背景 5 1.2 BBS对大学生学习生活的影响 6 1.2.1BBS提供了丰富的网络学习资源 6 1.2.2 BBS促进了协作学习 6 1.2.3 BBS提高了学生自主学习能力 6 2软件介绍及基本原理 7 2.1 ...

    BBS论坛的设计与实现毕业论文(附ASP源码).rar

    摘 要 4 Abstract 4 1绪论 5 1.1BBS的发展背景 5 1.2 BBS对大学生学习生活的影响 6 1.2.1BBS提供了丰富的网络学习资源 6 1.2.2 BBS促进了协作学习 6 1.2.3 BBS提高了学生自主学习能力 6 2软件介绍...

    ASP实例开发源码-天空网摘建站系统.zip

    天空网摘建站系统是一个基于ASP技术构建的网站平台,主要用于个人或团队收集、整理和分享网络上的信息,实现类似书签管理的功能。这个源码实例提供了完整的网站构建框架,包括用户注册、登录、发布、浏览和搜索网摘...

    一摘天下小(1Zhai.com) v1.2 -ASP源码.zip

    2. **内置对象**:如Response、Request、Session、Application、Server等,这些对象提供了与服务器交互的基本功能。 - **Response**:用于向客户端发送数据。 - **Request**:用于从客户端接收数据。 - **Session...

    PHP实例开发源码—php+mysql仿第一摘网站目录(dzhai.com).zip

    【标题】"PHP实例开发源码—php+mysql仿第一摘网站目录(dzhai.com)"是一个基于PHP编程语言和MySQL数据库实现的项目,其目的是创建一个类似于第一摘(dzhai.com)的网站目录。这个项目提供了从零开始构建这样一个网站的...

    sip模块功能与使用

    SIP(Session Initiation Protocol)模块是实现多媒体通信系统中电话呼叫管理的关键组件。本篇旨在详细阐述SIP模块的基本原理、功能特性及其在软件架构中的作用。 #### 二、基本结构与通信协议 SIP模块与界面之间...

    现代交换技术综合实验报告

    7. **摘挂机识别**:在电话系统中,摘机和挂机识别是基础功能,用于检测用户是否在通话,从而启动或结束通信链路。 8. **软件送音**:在IP电话系统中,软件送音指的是通过软件生成和发送音频信号,代替传统的物理...

    网络语音-VoIP技术介绍-D.docx

    VoIP(Voice over IP),即基于IP的语音传输技术,是一种新兴的通信技术,它利用现有的互联网基础设施来传输语音信号,实现了传统电话服务的数字化转变。VoIP的核心在于将模拟语音信号转化为数字信号,并将其封装成...

    5GVONR EPS FB语音信令详解.pptx

    综上所述,5G网络优化不仅涉及技术层面的调整,还需要深入了解各种关键技术的工作原理及其实现细节。通过对VOLTE、EPS FB、FR以及VONR等关键技术的深入理解,可以有效地提高5G网络的服务质量和用户体验。

    【协议学习】SIP基本场景分析

    通过以上实例分析可以看出,SIP报文中包含了丰富的信息,如呼叫双方的标识、呼叫序列号、会话描述等,这些都是实现SIP呼叫的关键数据。 ### 结论 SIP作为一种重要的通信协议,在VoIP领域发挥着不可或缺的作用。...

Global site tag (gtag.js) - Google Analytics