近期因工作需求探索apache + resin的多机负载分布和多个webapp统一认证的实现方案, 期间设计多个webapp统一认证的实现方案时, 发现resin下通过cookie来传递jsessionid和通过url重写将jsessionid放url中传递, 会有细微的差异.
注:后来研究发现是resin提供的session id reuse特性,只是此文第一次发布时我还不知道有此特性,惭愧。
在servlet规范中,HttpServletSession的获取时通过调用request.getSession(boolean createnew)方法来实现,其实现机制可以简单的理解为: 存在一个大的hashMap结构,key就是jsessionid,而valule是HttpservletSession对象。 request.getSession(boolean createnew)方法通过jsessionid来获取对应的HttpservletSession,如果不存在并且参数createnew= true,则创建一个新的HttpservletSession对象,并设置jsessionid=session.getId() ,保存到hashMap结构中。以后再传递这个jsessionid. (详细的过程比较复杂,各家的实现也不尽相同,但大体的实现原理是如此。)
关注以下几点:
一). 获取jsessionid
jsessionid的传递可以是以下途径
1. 放在cookie中
Cookie: JSESSIONID=abcrmF3Gx-5Z-hhkgHfzr
2. 以参数形式放在url
http://10.3.2.35:11280/wmail/welcome.action?jsessionid=abcQNqiT4C01rg-necLBr
3. 用form表单传递,通常是用隐藏域
<input type="hidden" name="jsessionid" value="abcQNqiT4C01rg-necLBr"/>
4. url重写
http://10.3.2.35:11280/jid=abcQNqiT4C01rg-necLBr/wmail/welcome.action
或者
http://10.3.2.35:11280/wmail/welcome.action;jsessionid=abcQNqiT4C01rg-necLBr
如果当前还没有jsessionid则当然就无法获取,通常用户第一次访问或者登录前就是这种情况.
可以通过request.getRequestedSessionId() 方法来获取本次http 请求的jsessonid值。
二)获取到的HttpServletSession对象
如果HttpServletSession对象是已经存在的,则
1. session.isNew()=false
2. request.getRequestedSessionId() == jsessionid == session.getId()
如果HttpServletSession对象是调用request.getSession(true) (简写的request.getSession()方法等同于request.getSession(true) )时新创建的,则有以下特征:
1. session.isNew()=true
2. 以后传递的jsessionid=session.getId()
注意这里,如果request.getRequestedSessionId() 是空值,情况比较简单,以后传递jsessionid=session.getId()就是了。
但是如果request.getRequestedSessionId() 不是空值,通过这个值没有获取到已经存在的session对象,而是返回了一个新的session对象,这个时候新的session.getId()和原有的request.getRequestedSessionId() 关系如何呢?下面详细阐述这种情况。
三) request.getRequestedSessionId() 不是空值时,新的session.getId() = ?
1). 测试代码如下:
HttpServletRequest request = ServletActionContext.getRequest();
String jid1 = request.getRequestedSessionId();
HttpSession session = request.getSession(true);
String jid2 = request.getRequestedSessionId();
logger.info("get HttpSession , isNew()=" + session.isNew()
+ " getId()=" + session.getId()
+ " and jid1=" + jid1
+ " and jid2=" + jid2);
其中jid1和jid2分别是调用request.getSession(true)方法前后的request.getRequestedSessionId()值。
在resin中运行以上代码,测试request.getRequestedSessionId() 不是空值而对应jsessionid的session不存在的情况。
2). 通过cookie来传递jsessionid的情况,测试结果如下:
get HttpSession, isNew()=true getId()=abcqIgQroQ2Ov9lGYcYAr and jid1=abcqIgQroQ2Ov9lGYcYAr and jid2=abcqIgQroQ2Ov9lGYcYAr
get HttpSession, isNew()=true getId()=abcPQ3mpxKz8H-4UMdYAr and jid1=abcPQ3mpxKz8H-4UMdYAr and jid2=abcPQ3mpxKz8H-4UMdYAr
get HttpSession, isNew()=true getId()=abcdeE3iDy_bI536tLYAr and jid1=abcdeE3iDy_bI536tLYAr and jid2=abcdeE3iDy_bI536tLYAr
可以发现以下规律:
1. isNew()=true
2. session.getId() == jid1 == jid2
即新创建的session会使用传递过来的jsessionid值,即使这个jsessionid值根本没有对应的session存在
3) 通过url重写,将jsessionid放url中传递, 测试结果如下:
get HttpSession, isNew()=true getId()=abccw1zEC_RcN43qHMYAr and jid1=abcdUdTfKuLbge8h_LYAr and jid2=abcdUdTfKuLbge8h_LYAr
http://10.3.2.35:11280/jid=abccw1zEC_RcN43qHMYAr/uab/contactList.action
get HttpSession, isNew()=true getId()=abcFK7yOB1irgaYqgNYAr and jid1=abci-HpMPJU3egCB7MYAr and jid2=abci-HpMPJU3egCB7MYAr
http://10.3.2.35:11280/jid=abcFK7yOB1irgaYqgNYAr/uab/contactList.action
(后面的http地址为页面跳转完成后显示在浏览器地址框中的页面url)
可以发现以下规律:
1. isNew()=true
2. jid1 == jid2
request.getRequestedSessionId()值在request.getSession(true)方法调用前后无变化
3. session.getId() != jid1
即新创建的session不使用传递过来的jsessionid值,而是采用新值
4. 跳转完成后的http地址中,使用的是session.getId(), 而不是原来通过url重写传递过来的jsessionid
此时新的jsessionid覆盖了旧有的jsessionid.
4) 总结
在resin的实现中, 通过cookie来传递jsessionid的情况和通过url重写将jsessionid放url中传递, 会有细微的差异.
以上测试的resin版本为3.0.26, 稍后有时间考虑测试其他版本和tomcat.
这个差异直接影响到跨webapp的多个webapp直接相互传递jsessionid的方式, 通过cookie传递jsessionid可以做到多个webapp之间在页面跳转时始终是一个相同的jsessionid,这种各个应用都可以方便的获取到自己的HttpServletSession对象. 但是如果是通过url重写,则破坏了jsessonid的一致性, 逼迫各个webapp之间跳转时必须用其他额外的方法来保证传递给对方的jsessionid的准确性,因为此时每个webapp的jsessionid 都不一样了,必须记住其他每个webapp的jsessionid,造成跨webapp的页面跳转极其复杂,难于接受.
分享到:
相关推荐
《PyPI官网下载:text-reuse-retrieve-0.1.10.tar.gz——Python库解析与应用》 PyPI(Python Package Index)是Python开发者的重要资源库,它提供了丰富的Python库供全球开发者下载和使用。本文将详细介绍PyPI官网...
"reuse-router-seed-master.zip"这个压缩包提供了一个关于Angular路由复用的代码实例,帮助开发者了解如何在多Tab页面切换时实现路由缓存,从而优化用户界面的性能和用户体验。下面将详细探讨Angular路由复用的概念...
Knowlton -- Python. Create-Modify-Reuse -- 2008 -- code.7z
tcp_tw_reuse、tcp_tw_recycle 使用场景及注意事项
单片机可复用、可通用组件(学习为主):mcu_reuse_development_module: 单片机可复用、可通用开发组件,内含:xymodem,bootloader,MODBUS主从机管理(支持RTU和ASCII),内存管理(小内存管理算法),串口管理,消息...
而“frequency reuse”、“a-sfr”、“sfr功率”和“soft frequency reuse”则是该主题的关键标签,分别对应了SFR的核心概念、一种特殊的SFR变体、功率分配问题以及SFR的“软”特性。 描述中提到的“matlab仿真”...
数据重用技术在盲均衡算法中的应用。在军事通信中,小数据包运用比较多,但很多盲均衡算法不能够在小数据包的情况下收敛,所以采用数据重用的技术来克服。
LTE-Advanced(LTE-A)中继网络的自适应部分频谱复用(Adaptive Partial Frequency Reuse, APFR) LTE-Advanced是第四代移动通信技术LTE的演进版本,它在原有技术基础上加入了更多先进的特性以满足未来通信的需求。...
标题"reuse-previous-network-data:重用以前的网络数据来创建网络"涉及到的关键概念是模型的复用和数据的重复利用,这在训练神经网络时能够显著提高效率并优化性能。这里我们将详细探讨这一主题,尤其是与Go语言相关...
Create-Modify-Reuse -- 2008.pdf”这本书主要介绍了Python编程语言的应用、项目实践以及高级话题等内容。以下是对该书各章节内容进行的详细解读: ### 一、引言 本书旨在通过一系列实际案例,帮助读者深入理解...
《OSH设计重用指南文档》是针对开源硬件(Open Source...总之,这份WP2.3-Guideline-documentation-for-reuse-of-OSH-design--main文件将为OSH设计的重用提供一套全面而实用的指导,促进开源硬件领域的持续发展和繁荣。
【reuse-calculator-sample:安卓示例】是一个专为Android平台设计的应用程序开发示例,它主要展示了如何在移动设备上实现资源的重用,特别是针对计算功能的一种优化设计。这个项目可能对初学者来说有些复杂,因为它...
### AIX 3004-314 错误详解与解决办法 ...通过上述步骤和注意事项,可以有效地解决AIX系统中出现的“3004-314 Password was recently used and is not valid for reuse”这一问题,确保系统的稳定运行。
「安全架构」crauEmu - your IDE for code-reuse attacks - 安全研究 安全漏洞 网络安全 防火墙 渗透测试 安全管理
1. **高阶组件(Higher-Order Components, HOCs)**:React-Reuse的一个关键特性是利用高阶组件来实现组件的复用。高阶组件是一个接受一个组件并返回新组件的函数,它可以修改组件的props或实现共享行为。例如,一个...
在本项目“labview_Hamburger-Menu-Reuse-”中,重点是实现一个可重用的汉堡菜单(Hamburger Menu),这是一种常见于移动应用和现代Web设计中的导航元素。汉堡菜单因其图标样式酷似汉堡而得名,通常由三条横线组成,...
Blazor-如何重用组件并通过字典配置其状态 在您的应用程序中,您有多个组件。 例如,将其设为DataGrid。...Group 1 < DxDataGrid PageSize = " 5 " ShowFilterRow = " false " ShowPager = " false " ShowGroupP
《Reuse Methodology Manual》是一本专注于集成电路设计中可重用性 RTL(Register Transfer Level)设计的指南书籍。RTL设计是一种在数字电路设计中的抽象层次,用于描述硬件的行为和结构,通常用来在设计硬件时进行...
Reuse Localhost Tab是一款针对Chrome浏览器设计的扩展程序,它的主要功能是优化用户在浏览网页时对localhost或本地开发环境的访问体验。这款插件能够帮助开发者高效地管理和重用已经打开的localhost标签页,避免...
这篇论文的另一个重要贡献在于,在一大批班级的两个或更多学生中发现students窃。 以前的工作着重于将一种代码与另一种代码进行比较以检测窃,并且在检测涉及的学生群体及其在大课堂上的个人见解时,计算量很大。 ...