HTTP 是一种无状态通信协议,每个请求之间相互独立,服务器不能识别曾经来过的请求。而对于 Web 应用,它的活动都是依赖某个状态的,比如用户登录,此时使用 HTTP 就需要它在一次登录请求后,有为后续请求提供已登录信息的能力。本文首发于公众号顿悟源码.

解决办法就是使用 Cookie,它由服务器返回给浏览器,浏览器缓存并在每次请求时将 cookie 数据提交到服务器。Cookies 在请求中以明文传输,且大小限制 4KB,显然把所有状态数据保存在浏览器是不靠谱的,主流做法是:

  1. 浏览器发出第一个请求时,服务器为用户分配一个唯一标识符,返回并存入浏览器的 Cookies 中
  2. 服务器内部维护一个全局的请求状态库,并使用生成的唯一标识符关联每个请求的状态信息
  3. 浏览器后续发出的请求,都将唯一标识符提交给服务器,以便获取之前请求的状态信息

为了方便管理,服务器把整个过程称为会话,并抽象成一个 Session 类,用于识别和存储有关该用户的信息或状态。

接下来,将通过会话标识符的解析和生成,Session 的创建、销毁和持久化等问题,分析 Tomcat 的源码实现,版本使用的是 6.0.53。

1. 解析会话标识符

Cookie 作为最常用的会话跟踪机制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存储会话标识符的 cookie 的标准名字是 JSESSIONID

如果如果浏览器不支持 Cookie,也可以使用以下办法,记录标识符:

  • URL 重写: 作为路径参数包含到 url 中,如 /path;JSESSIONID=xxx
  • URL 请求参数: 将会话唯一标识作为查询参数添加到页面所有链接中,如 /path?JSESSIONID=xxx
  • FORM 隐藏字段: 表单中使用一个隐藏字段存储唯一值,随表单提交到服务器

Tomcat 就实现了从 URL 重写路径和 Cookie 中提取 JSESSIONID。在分析源码之前,首先看下设置 Cookie 的响应和带 Cookie 的请求它们头域的关键信息:

// 设置 Cookie

HTTP/1.1 200 OK

Server: Apache-Coyote/1.1

Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examples

Date: Sun, 12 May 2019 01:40:35 GMT

// 提交 Cookie

GET /examples/servlets/servlet/SessionExample HTTP/1.1

Host: localhost:8080

Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91

1.1 从 URL 重写路径

一个包含会话 ID 路径参数的 URL 如下:

http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x

简单来看就是查找匹配分号和最后一个斜线之间的 JSESSIONID,事实也是如此,只不过 Tomcat 操作的是字节,核心代码在 CoyoteAdapter.parsePathParameters() 方法,这里不在贴出。

1.2 从 Cookie 头域

触发 Cookie 解析的方法调用如下:

CoyoteAdapter.service(Request, Response)

└─CoyoteAdapter.postParseRequest(Request, Request, Response, Response)

 └─CoyoteAdapter.parseSessionCookiesId(Request, Request)

  └─Cookies.getCookieCount()

   └─Cookies.processCookies(MimeHeaders)

    └─Cookies.processCookieHeader(byte[], int, int)

这个 processCookieHeader 操作的是字节,解析看起来不直观,在 Tomcat 内部还有一个被标记废弃的使用字符串解析的方法,有助于理解,代码如下:

private void processCookieHeader(  String cookieString ){

  // 多个 cookie 值以逗号分割

  StringTokenizer tok = new StringTokenizer(cookieString, ";", false);

  while (tok.hasMoreTokens()) {

    String token = tok.nextToken();

    // 获取等号的位置

    int i = token.indexOf("=");

    if (i > -1) {

      // 获取name 和 value 并去除空格

      String name = token.substring(0, i).trim();

      String value = token.substring(i+1, token.length()).trim();

      // RFC 2109 and bug 去除两头的双引号 "

      value=stripQuote( value );

      // 从内部 cookie 缓存池中获取一个 ServerCookie 对象

      ServerCookie cookie = addCookie();

      // 设置 name 和 value

      cookie.getName().setString(name);

      cookie.getValue().setString(value);

    } else {

      // we have a bad cookie.... just let it go

    }

  }

}

解析完毕,接下来就是在 parseSessionCookiesId 方法遍历并尝试匹配名称为 JSESSIONID 的 Cookie,如果存在,则将其值设为 Request 的 requestedSessionId,与内部的一个 Session 对象关联。

2. 生成会话 Cookie

与会话相关的 Cookie 是 Tomcat 内部自己生成的,当在 Servlet 中使用 Request.getSession() 获取会话对象时,就会触发执行,核心代码:

protected Session doGetSession(boolean create) {

  ...

  // 创建 Session 实例

  if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {

    // 如果会话 ID 来自 cookie,请重用该 ID,如果来自 URL,请不要

    // 重用该会话ID,以防止可能的网络钓鱼攻击

    session = manager.createSession(getRequestedSessionId());

  } else {

    session = manager.createSession(null);

  }

  // 基于该 Session 创建一个新的会话 cookie

  if ((session != null) && (getContext() != null)

       && getContext().getCookies()) {

    String scName = context.getSessionCookieName();

    if (scName == null) {

      // 默认 JSESSIONID

      scName = Globals.SESSION_COOKIE_NAME;

    }

    // 新建 Cookie

    Cookie cookie = new Cookie(scName, session.getIdInternal());

    // 设置 path domain secure

    configureSessionCookie(cookie);

    // 添加到响应头域

    response.addSessionCookieInternal(cookie, context.getUseHttpOnly());

  }

  if (session != null) {

    session.access();

    return (session);

  } else {

    return (null);

  }

}

添加到响应头域,就是根据 Cookie 对象,生成如开始描述的格式那样。

3. Session

Session 是 Tomcat 内部的一个接口,是 HttpSession 的外观类,用于维护 web 应用特定用户的请求之间的状态信息。相关类图设计如下:

关键类或接口的作用如下:

  • Manager - 管理 Session 池,不同的实现提供特定的功能,如持久化和分布式
  • ManagerBase - 实现了一些基本功能,如 Session 池,唯一ID生成算法,便于继承扩展
  • StandardManager - 标准实现,可在此组件重新启动时提供简单的会话持久性(例如,当整个服务器关闭并重新启动时,或重新加载特定Web应用程序时)
  • PersistentManagerBase - 提供多种不同的持久化存储管理方式,如文件和数据库
  • Store - 提供持久化存储和加载会话和用户信息
  • ClusterManager - 集群 session 管理接口,负责会话的复制方式
  • DeltaManager - 将会话数据增量复制到集群中的所有成员
  • BackupManager - 将数据只复制到一个备份节点,集群中所有成员可看到这个节点

本文不分析集群复制的原理,只分析单机 Session 的管理。

3.1 创建 Session

在 Servlet 中首次使用 Request.getSession() 获取会话对象时,会创建一个 StandardSession 实例:

public Session createSession(String sessionId) {

  // 默认返回的是 new StandardSession(this) 实例

  Session session = createEmptySession();

  // 初始化属性

  session.setNew(true);

  session.setValid(true);

  session.setCreationTime(System.currentTimeMillis());

  // 设置会话有效时间,单位 秒,默认 30 分钟,为负值表示永不过期

  session.setMaxInactiveInterval(((Context) getContainer()).getSessionTimeout() * 60);

  if (sessionId == null) {

    // 生成一个会话 ID

    sessionId = generateSessionId();

  session.setId(sessionId);

  sessionCounter++;

  SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);

  synchronized (sessionCreationTiming) {

    sessionCreationTiming.add(timing);

    sessionCreationTiming.poll();

  }

  return (session);

}

关键就在于会话唯一标识的生成,来看 Tomcat 的生成算法

  1. 随机获取 16 个字节
  2. 使用 MD5 加密这些字节,再次得到一个 16 字节的数组
  3. 遍历新的字节数组,使用每个字节的高低4位分别生成一个十六进制字符
  4. 最后得到一个 32 位的十六进制字符串

核心代码如下:

protected String generateSessionId() {

  byte random[] = new byte[16];

  String jvmRoute = getJvmRoute();

  String result = null;

  // 将结果渲染为十六进制数字的字符串

  StringBuffer buffer = new StringBuffer();

  do {

    int resultLenBytes = 0;

    if (result != null) { // 重复,重新生成

      buffer = new StringBuffer();

      duplicates++;

    }

    // sessionIdLength 为 16

    while (resultLenBytes < this.sessionIdLength) {

      getRandomBytes(random);// 随机获取 16 个字节

      // 获取这16个字节的摘要,默认使用 MD5

      random = getDigest().digest(random);

      // 遍历这个字节数组,最后生成一个32位的十六进制字符串

      for (int j = 0;

      j < random.length && resultLenBytes < this.sessionIdLength;

      j++) {

        // 使用指定字节的高低4位分别生成一个十六进制字符

        byte b1 = (byte) ((random[j] & 0xf0) >> 4);

        byte b2 = (byte) (random[j] & 0x0f);

        // 转为十六进制数字字符

        if (b1 < 10) {buffer.append((char) ('0' + b1));}

        // 转为大写的十六进制字符

        else {buffer.append((char) ('A' + (b1 - 10)));}

        if (b2 < 10) {buffer.append((char) ('0' + b2));}

        else {buffer.append((char) ('A' + (b2 - 10)));}

        resultLenBytes++;

      }

    }

    if (jvmRoute != null) {buffer.append('.').append(jvmRoute);}

    result = buffer.toString();

  } while (sessions.containsKey(result));

  return (result);

}

3.2 Session 过期检查

一个 Web 应用对应一个会话管理器,也就是说 StandardContext 内部有一个 Manager 实例。每个容器组件都会启动一个后台线程,周期的调用自身以及内部组件的 backgroundProcess() 方法,Manager 后台处理就是检查 Session 是否过期。

检查的逻辑是,获取所有 session 使用它的 isValid 判断是否过期,代码如下:

public boolean isValid() {

  ...

  // 是否检查是否活动,默认 false

  if (ACTIVITY_CHECK && accessCount.get() > 0) {

    return true;

  }

  // 检查时间是否过期

  if (maxInactiveInterval >= 0) {

    long timeNow = System.currentTimeMillis();

    int timeIdle = (int) ((timeNow - thisAccessedTime) / 1000L);

    if (timeIdle >= maxInactiveInterval) {

      // 如果过期,执行一些内部处理

      // 主要是通知对过期事件感兴趣的 listeners

      expire(true);

    }

  } // 复数永不过期

  return (this.isValid);

}

3.3 Session 持久化

持久化就是把内存中活动的 Session 对象,序列化到文件,或者存储到一个数据库中。如果会话管理组件符合并启用了持久化功能,那么就会在它生命周期事件 stop 方法中执行存储;在 start 方法中执行加载。

持久化到文件,StandardManager 也提供了持久化到文件的功能,它会把 session 池中活动的会话全部写入到CATALINA_HOME/work/Catalina/<host>/<webapp>/SESSIONS.ser文件中,代码在它的 doUnload 方法中。

FileStore 也提供了持久化到文件的功能,与 StandardManager 的区别是,它会把每个会话写入到单个文件中,以 <id>.session 命名。

持久化到数据库,分别把 session 相关数据存储到一个表中,包括序列化后的二进制数据,表字段信息如下:

create table tomcat_sessions (

  session_id     varchar(100) not null primary key,

  valid_session  char(1) not null, -- 是否有效

  max_inactive   int not null,-- 最大有效时间

  last_access    bigint not null, -- 最后访问时间

  app_name       varchar(255), -- 应用名,格式为 /Engine/Host/Context

  session_data   mediumblob, -- 二进制数据

  KEY kapp_name(app_name)

);

注意:需要把数据库驱动程序的 jar 文件,放到 $CATALINA_HOME/lib 目录中,以便让 Tomcat 内部的类加载器可见。

4. 小结

本文简单分析了 Tomcat 对 Session 的管理,当然了忽略了很多细节,有兴趣的可以深入源码,后续将会对 Tomcat 集群 Session 的实现进行分析。如有疑问,欢迎留言交流。

Tomcat 中的 Session 和 Cookie的更多相关文章

  1. Tomcat中的Session小结

    什么是Session 对Tomcat而言,Session是一块在服务器开辟的内存空间,其存储结构为ConcurrentHashMap: Session的目的 Http协议是一种无状态协议,即每次服务端 ...

  2. How Tomcat works — 八、tomcat中的session管理

    在使用shiro的session的时候感觉对于tomcat中session的管理还不是特别清楚,而且session管理作为tomcat中比较重要的一部分还是很有必要学习的. 目录 概述 session ...

  3. [转]Tomcat中的Session小结

    阅读目录 什么是Session Session的目的 实现机制 Tomcat中的session实现 session存在的问题 什么是Session 对Tomcat而言,Session是一块在服务器开辟 ...

  4. 【Web】Tomcat中利用Session识别用户的基本原理

    HTTP无状态的特性与Session.Cookie的存在 HTTP有一个特性:无状态的,就是前后两个HTTP事务它们并不知道对方的信息. 而为了维护会话信息或用户信息,一般可用Cookie或Sessi ...

  5. Tomcat中的session实现

    Tomcat中一个会话对应一个session,其实现类是StandardSession,查看源码,可以找到一个attributes成员属性,即存储session的数据结构,为ConcurrentHas ...

  6. javaWeb中的session和cookie

    Cookie Cookie 是浏览器提供的一种技术,通过服务器的程序能将一些只须保存在客户端,或者 在客户端进行处理的数据,放在本地的计算机上,不需要通过网络传输,因而提高网页处理的效率,并且能够减少 ...

  7. [转]tomcat中的session管理

    转载地址:http://blog.csdn.net/iloveqing/article/details/1544958 当一个sesson开始时,Servlet容器会创建一个HttpSession对象 ...

  8. JAVA中的Session和Cookie【转】

    一.cookie机制和session机制的区别 具体来说cookie机制采用的是在客户端保持状态的方案,而session机制采用的是在服务器端保持状态的方案. 同时我们也看到,由于才服务器端保持状态的 ...

  9. Django中的session和cookie及分页设置

    cookie Cookie的由来 大家都知道HTTP协议是无状态的. 无状态的意思是每次请求都是独立的,它的执行情况和结果与前面的请求和之后的请求都无直接关系,它不会受前面的请求响应情况直接影响,也不 ...

随机推荐

  1. Centos系统 tomcat 中的应用与北京时间相差8小时

    解决方法: 在 catalina.sh中的 JAVA_OPTS 加上 -Duser.timezone=GMT+08  启动时 startup.sh 会调用 catalina.sh.

  2. flask项目结构

    project/ app/ # 整个程序的包目录 static/ # 静态资源文件 js/ # JS脚本 css/ # 样式表 img/ # 图片 favicon.ico # 网站图标 templat ...

  3. CPU使用率与负载的爱恨情仇

    今天有一个电话面试,面试官问我:CentOS怎么查看CPU负载?我说:看top的第一行有load average.面试官又问:为什么从这就判定是负载高呢?依据是什么呢?然后... 然后我就尴尬了,挂了 ...

  4. Go Programming Language 3

    [Go Programming Language 3] 1.These two statements declare a struct type called and a variable calle ...

  5. 【JavaScript】案例一:使用JS完成注册页面表单校验——事件(onsubmit&onfocus&onblur)

    (一)初版:事件(onsubmit) 步骤分析: 第一步:确定事件(onsubmit)并为其绑定一个函数 第二步:书写这个函数(获取用户输入的数据<获取数据时需要在指定位置定义一个 id> ...

  6. PAT 乙级 1042.字符统计 C++/Java

    题目来源 请编写程序,找出一段给定文字中出现最频繁的那个英文字母. 输入格式: 输入在一行中给出一个长度不超过 1000 的字符串.字符串由 ASCII 码表中任意可见字符及空格组成,至少包含 1 个 ...

  7. 13-C#笔记-数组

    # 1 初始化 double[] balance = new double[10]; // 隐式初始化为0 double[] balance = { 2340.0, 4523.69, 3421.0}; ...

  8. ES6学习笔记 -- 尾调用优化

    什么是尾调用? 尾调用(Tail Call)是函数式编程的一个重要概念,就是指某个函数的最后一步是调用另一个函数. function f(x) { return g(x) } 如上,函数 f 的最后一 ...

  9. [Algorithm] 53. Maximum Subarray

    Given an integer array nums, find the contiguous subarray (containing at least one number) which has ...

  10. query 2019徐州网络赛(树状数组)

    query \[ Time Limit: 2000 ms \quad Memory Limit: 262144 kB \] 题意 补题才发现比赛的时候读了一个假题意.... 给出长度为 \(n\) 的 ...