`
xiebh
  • 浏览: 613879 次
  • 性别: Icon_minigender_1
  • 来自: 太原
社区版块
存档分类
最新评论

session的理解

阅读更多
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。

服务端不能主动连接客户端,只能被动等待并响应客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。

从以上我们看到,HTTP协议是“无状态”的,也就是说,它本身并不能在服务端保存客户端的状态信息。于是,Web Server中引入了session的概念,用来保存客户端的状态信息。

这里用一个形象的比喻来解释session的工作方式。假设Web Server是一个商场的存包处,HTTP Request是一个顾客,第一次来到存包处,管理员把顾客的物品存放在某一个柜子里面(这个柜子就相当于Session),然后把一个号码牌交给这个顾客,作为取包凭证(这个号码牌就是Session ID)。顾客(HTTP Request)下一次来的时候,就要把号码牌(Session ID)交给存包处(Web Server)的管理员。管理员根据号码牌(Session ID)找到相应的柜子(Session),根据顾客(HTTP Request)的请求,Web Server可以取出、更换、添加柜子(Session)中的物品,Web Server也可以让顾客(HTTP Request)的号码牌和号码牌对应的柜子(Session)失效。顾客(HTTP Request)的忘性很大,管理员在顾客回去的时候(HTTP Response)都要重新提醒顾客记住自己的号码牌(Session ID)。这样,顾客(HTTP Request)下次来的时候,就又带着号码牌回来了。

我们可以看到,Session ID实际上是在客户端和服务端之间通过HTTP Request和HTTP Response传来传去的。

我们看到,号码牌(Session ID)必须包含在HTTP Request里面。关于HTTP Request的具体格式,请参见HTTP协议(http://www.w3.org/Protocols/)。这里只做一个简单的介绍。
在Java Web Server(即Servlet/JSP Server)中,Session ID用jsessionid表示(请参见Servlet规范)。

HTTP Request一般由3部分组成:
(1)Request Line
这一行由HTTP Method(如GET或POST)、URL、和HTTP版本号组成。
例如,GET http://www.w3.org/pub/WWW/TheProject.html HTTP/1.1
GET http://www.google.com/search?q=Tomcat HTTP/1.1
POST http://www.google.com/search HTTP/1.1
GET http://www.somsite.com/menu.do;jsessionid=1001 HTTP/1.1

(2)Request Headers

这部分定义了一些重要的头部信息,如,浏览器的种类,语言,类型。Request Headers中还可以包括Cookie的定义。例如:
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001

(3)Message Body
如果HTTP Method是GET,那么Message Body为空。
如果HTTP Method是POST,说明这个HTTP Request是submit一个HTML Form的结果,
那么Message Body为HTML Form里面定义的Input属性。例如,
user=guest
password=guest
jsessionid=1001

注意,如果把HTML Form元素的Method属性改为GET。那么,Message Body为空,所有的Input属性都会加在URL的后面。你在浏览器的URL地址栏中会看到这些属性,类似于
http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001


从理论上来说,这3个部分(Request URL,Cookie Header, Message Body)都可以用来存放Session ID。由于Message Body方法必须需要一个包含Session ID的HTML Form,所以这种方法不通用。

一般用来实现Session的方法有两种:

(1)URL重写
Web Server在返回Response的时候,检查页面中所有的URL,包括所有的连接,和HTML Form的Action属性,在这些URL后面加上“;jsessionid=XXX”。
下一次,用户访问这个页面中的URL。jsessionid就会传回到Web Server。

(2)Cookie
如果客户端支持Cookie,Web Server在返回Response的时候,在Response的Header部分,加入一个“set-cookie: jsessionid=XXXX”header属性,把jsessionid放在Cookie里传到客户端。
客户端会把Cookie存放在本地文件里,下一次访问Web Server的时候,再把Cookie的信息放到HTTP Request的“Cookie”header属性里面,这样jsessionid就随着HTTP Request返回给Web Server。

我们来看Tomcat5的源代码如何支持jsessionid。
org.apache.coyote.tomcat5.CoyoteResponse类的toEncoded()方法支持URL重写。
String toEncoded(String url, String sessionId) {
…
StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can't be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}


我们来看org.apache.coyote.tomcat5.CoyoteRequest的两个方法configureSessionCookie()
doGetSession()用Cookie支持jsessionid.

/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
…
}

HttpSession doGetSession(boolean create){
…
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}
…
}


Session的典型应用是存放用户的Login信息,如用户名,密码,权限角色等信息,应用程序(如Email服务、网上银行等系统)根据这些信息进行身份验证和权限验证
分享到:
评论

相关推荐

    session理解临床试验的项目管理医疗器械临床试验管理与统计分析培训班讲义PPT学习教案.pptx

    session理解临床试验的项目管理医疗器械临床试验管理与统计分析培训班讲义PPT学习教案.pptx

    drools session理解.doc

    总结来说,理解 Drools 中的有状态和无状态 Session 是至关重要的,这有助于你正确选择适合的 Session 类型来处理各种业务场景,从而优化规则引擎的性能和效率。在设计系统时,应充分考虑规则的复杂性和依赖性,合理...

    servlet中关于session的理解

    ### 关于Servlet中的Session理解 在Web开发领域中,Servlet技术是Java Web开发的重要组成部分,而Session机制则是处理用户会话的关键技术之一。本文将基于提供的文件内容,深入探讨Servlet中Session的工作原理、...

    理解session机制

    【理解Session机制】 Session机制是Web应用程序中用来保持用户会话状态的一种技术。在HTTP协议中,由于其无状态特性,每次请求都是独立的,无法识别同一用户的不同操作。为了解决这个问题,服务器端引入了Session,...

    理解HTTP session原理及应用

    首先,理解"session"一词的含义至关重要。在一般语境中,session指的是有始有终的一系列动作或消息,例如打电话的过程。而在Web开发中,session则被赋予了更特殊的意义。它通常用来描述在用户打开浏览器并进行一系列...

    深入理解session,cookie

    在这个场景下,Cookie和Session成为了关键的角色。接下来,我们将深入探讨这两种技术的工作原理及其在Servlet和JSP中的应用。 首先,我们来看Cookie。Cookie是由服务器端创建并在HTTP响应头中发送到客户端(通常是...

    对session和cookie的一些理解

    标题中的“对session和cookie的一些理解”提示我们,这篇内容将涉及Web开发中两种重要的用户会话管理技术:Session和Cookie。在Web应用中,Session和Cookie被广泛用于跟踪用户的登录状态、购物车信息等,确保用户在...

    js操作session例子

    首先,理解Session的基本概念。Session是服务器端存储的一种会话状态,它可以保存用户在浏览网站时产生的临时数据,例如登录信息、购物车内容等。当用户访问网站时,服务器会为每个用户创建一个唯一的Session ID,并...

    Session丢失原因和解决方案

    在深入探讨解决方案之前,让我们先理解Session的基本原理。 Session是一种服务器端的状态管理机制,用于在用户的不同请求之间保持数据。在ASP.NET中,Session默认是保存在进程内(InProc模式),即存储在ASP.NET ...

    SpringSession+Redis实现Session共享案例

    在现代Web应用开发中,Session共享是一个常见的需求,特别是在分布式系统中。...通过理解并掌握这两个技术的原理和配置,开发者可以轻松地在多服务器之间共享用户状态,提升系统的整体性能和用户体验。

    Hibernate-nosession

    首先,理解什么是Hibernate Session。Session是Hibernate中的核心接口,它充当了应用程序和数据库之间的桥梁,负责对象的持久化操作,如保存、更新、删除和查询等。Session通常在一个事务中打开并在事务结束时关闭,...

    session实验

    在IT行业中,Session是一个至关重要的概念,特别是在Web开发领域。Session是服务器端用来跟踪用户状态的一种机制。...通过这个实验,学习者能够深入理解Session的工作原理及其在实际应用中的重要性。

    iframe 跨域访问session

    然而,当涉及到跨域时,`iframe` 遇到的问题之一就是无法正常访问父页面或被嵌入页面的`session`。这是因为浏览器的同源策略(Same-Origin ...通过理解上述技术,开发者可以更好地处理这种场景,提供无缝的用户体验。

    sessionsession

    【session技术详解】 ...总之,Session是Web开发中不可或缺的一部分,理解其工作原理和管理策略对于构建安全、高效的Web应用至关重要。正确使用Session能够帮助开发者有效地处理用户状态,提供更好的用户体验。

    判断session过期的方式

    在Web开发中,Session是用于跟踪用户状态的一种技术。当用户登录网站后,服务器会创建一个Session对象,并将其关联到用户的...通过理解这些方法,开发者能够更好地管理用户状态,提升用户体验,同时确保系统的安全性。

    .net core 6 使用session进行验证

    通过查看这个项目,你可以更深入地理解Session验证的实际应用和代码实现。 总之,.NET Core 6提供了一种简单而强大的方式来利用Session进行用户验证。正确配置和使用Session可以确保Web应用程序的安全性,并提供...

    Session浅析

    理解Session ID的工作原理对于解决如`Session_Start`和`Session_End`事件触发问题至关重要。 总的来说,理解和正确使用Session是构建动态、状态感知的ASP.NET应用的基础。合理地管理Session可以提高应用程序的性能...

    session之用户交互间隔&&session持久化

    根据给定文件的信息,本文将围绕“Session 用户交互间隔与 Session 持久化”这一主题进行深入探讨,包括 ...通过理解这些内容,开发者可以更好地管理和优化 Web 应用中的 Session 行为,提升用户体验和系统的可靠性。

Global site tag (gtag.js) - Google Analytics