Tomcat中的Session與Cookie深入講解

更新時(shí)間：2019年09月16日 11:16:56 作者：頓悟源碼

這篇文章主要給大家介紹了關(guān)于Tomcat中Session與Cookie的相關(guān)資料，文中通過示例代碼介紹的非常詳細(xì)，對(duì)大家學(xué)習(xí)或者使用Tomcat具有一定的參考學(xué)習(xí)價(jià)值，需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧

前言

HTTP 是一種無狀態(tài)通信協(xié)議，每個(gè)請(qǐng)求之間相互獨(dú)立，服務(wù)器不能識(shí)別曾經(jīng)來過的請(qǐng)求。而對(duì)于 Web 應(yīng)用，它的活動(dòng)都是依賴某個(gè)狀態(tài)的，比如用戶登錄，此時(shí)使用 HTTP 就需要它在一次登錄請(qǐng)求后，有為后續(xù)請(qǐng)求提供已登錄信息的能力。本文首發(fā)于公眾號(hào)頓悟源碼.

解決辦法就是使用 Cookie，它由服務(wù)器返回給瀏覽器，瀏覽器緩存并在每次請(qǐng)求時(shí)將 cookie 數(shù)據(jù)提交到服務(wù)器。Cookies 在請(qǐng)求中以明文傳輸，且大小限制 4KB，顯然把所有狀態(tài)數(shù)據(jù)保存在瀏覽器是不靠譜的，主流做法是：

瀏覽器發(fā)出第一個(gè)請(qǐng)求時(shí)，服務(wù)器為用戶分配一個(gè)唯一標(biāo)識(shí)符，返回并存入瀏覽器的 Cookies 中
服務(wù)器內(nèi)部維護(hù)一個(gè)全局的請(qǐng)求狀態(tài)庫，并使用生成的唯一標(biāo)識(shí)符關(guān)聯(lián)每個(gè)請(qǐng)求的狀態(tài)信息
瀏覽器后續(xù)發(fā)出的請(qǐng)求，都將唯一標(biāo)識(shí)符提交給服務(wù)器，以便獲取之前請(qǐng)求的狀態(tài)信息

為了方便管理，服務(wù)器把整個(gè)過程稱為會(huì)話，并抽象成一個(gè) Session 類，用于識(shí)別和存儲(chǔ)有關(guān)該用戶的信息或狀態(tài)。
接下來，將通過會(huì)話標(biāo)識(shí)符的解析和生成，Session 的創(chuàng)建、銷毀和持久化等問題，分析 Tomcat 的源碼實(shí)現(xiàn)，版本使用的是 6.0.53。

1. 解析會(huì)話標(biāo)識(shí)符

Cookie 作為最常用的會(huì)話跟蹤機(jī)制，所有的 Servlet 容器都支持，Tomcat 也不例外，在 Tomcat 中，表示存儲(chǔ)會(huì)話標(biāo)識(shí)符的 cookie 的標(biāo)準(zhǔn)名字是 JSESSIONID。

如果如果瀏覽器不支持 Cookie，也可以使用以下辦法，記錄標(biāo)識(shí)符：

URL 重寫: 作為路徑參數(shù)包含到 url 中，如 /path;JSESSIONID=xxx
URL 請(qǐng)求參數(shù): 將會(huì)話唯一標(biāo)識(shí)作為查詢參數(shù)添加到頁面所有鏈接中，如 /path?JSESSIONID=xxx
FORM 隱藏字段: 表單中使用一個(gè)隱藏字段存儲(chǔ)唯一值，隨表單提交到服務(wù)器

Tomcat 就實(shí)現(xiàn)了從 URL 重寫路徑和 Cookie 中提取 JSESSIONID。在分析源碼之前，首先看下設(shè)置 Cookie 的響應(yīng)和帶 Cookie 的請(qǐng)求它們頭域的關(guān)鍵信息：

// 設(shè)置 Cookie
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examples
Date: Sun, 12 May 2019 01:40:35 GMT

// 提交 Cookie
GET /examples/servlets/servlet/SessionExample HTTP/1.1
Host: localhost:8080
Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91

1.1 從 URL 重寫路徑

一個(gè)包含會(huì)話 ID 路徑參數(shù)的 URL 如下：

http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x

簡(jiǎn)單來看就是查找匹配分號(hào)和最后一個(gè)斜線之間的 JSESSIONID，事實(shí)也是如此，只不過 Tomcat 操作的是字節(jié)，核心代碼在 CoyoteAdapter.parsePathParameters() 方法，這里不在貼出。

1.2 從 Cookie 頭域

觸發(fā) Cookie 解析的方法調(diào)用如下：

CoyoteAdapter.service(Request, Response)
└─CoyoteAdapter.postParseRequest(Request, Request, Response, Response)
 └─CoyoteAdapter.parseSessionCookiesId(Request, Request)
 └─Cookies.getCookieCount()
 └─Cookies.processCookies(MimeHeaders)
 └─Cookies.processCookieHeader(byte[], int, int)

這個(gè) processCookieHeader 操作的是字節(jié)，解析看起來不直觀，在 Tomcat 內(nèi)部還有一個(gè)被標(biāo)記廢棄的使用字符串解析的方法，有助于理解，代碼如下：

private void processCookieHeader( String cookieString ){
 // 多個(gè) cookie 值以逗號(hào)分割
 StringTokenizer tok = new StringTokenizer(cookieString, ";", false);
 while (tok.hasMoreTokens()) {
  String token = tok.nextToken();
  // 獲取等號(hào)的位置
  int i = token.indexOf("=");
  if (i > -1) {
   // 獲取name 和 value 并去除空格
   String name = token.substring(0, i).trim();
   String value = token.substring(i+1, token.length()).trim();
   // RFC 2109 and bug 去除兩頭的雙引號(hào) "
   value=stripQuote( value );
   // 從內(nèi)部 cookie 緩存池中獲取一個(gè) ServerCookie 對(duì)象
   ServerCookie cookie = addCookie();
   // 設(shè)置 name 和 value
   cookie.getName().setString(name);
   cookie.getValue().setString(value);
  } else {
   // we have a bad cookie.... just let it go
  }
 }
}

解析完畢，接下來就是在 parseSessionCookiesId 方法遍歷并嘗試匹配名稱為 JSESSIONID 的 Cookie，如果存在，則將其值設(shè)為 Request 的 requestedSessionId，與內(nèi)部的一個(gè) Session 對(duì)象關(guān)聯(lián)。

2. 生成會(huì)話 Cookie

與會(huì)話相關(guān)的 Cookie 是 Tomcat 內(nèi)部自己生成的，當(dāng)在 Servlet 中使用 Request.getSession() 獲取會(huì)話對(duì)象時(shí)，就會(huì)觸發(fā)執(zhí)行，核心代碼：

protected Session doGetSession(boolean create) {
 ...
 // 創(chuàng)建 Session 實(shí)例
 if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {
  // 如果會(huì)話 ID 來自 cookie，請(qǐng)重用該 ID，如果來自 URL，請(qǐng)不要
  // 重用該會(huì)話ID，以防止可能的網(wǎng)絡(luò)釣魚攻擊
  session = manager.createSession(getRequestedSessionId());
 } else {
  session = manager.createSession(null);
 }
 // 基于該 Session 創(chuàng)建一個(gè)新的會(huì)話 cookie
 if ((session != null) && (getContext() != null)
    && getContext().getCookies()) {
  String scName = context.getSessionCookieName();
  if (scName == null) {
   // 默認(rèn) JSESSIONID
   scName = Globals.SESSION_COOKIE_NAME;
  }
  // 新建 Cookie
  Cookie cookie = new Cookie(scName, session.getIdInternal());
  // 設(shè)置 path domain secure
  configureSessionCookie(cookie);
  // 添加到響應(yīng)頭域
  response.addSessionCookieInternal(cookie, context.getUseHttpOnly());
 }
 if (session != null) {
  session.access();
  return (session);
 } else {
  return (null);
 }
}

添加到響應(yīng)頭域，就是根據(jù) Cookie 對(duì)象，生成如開始描述的格式那樣。

3. Session

Session 是 Tomcat 內(nèi)部的一個(gè)接口，是 HttpSession 的外觀類，用于維護(hù) web 應(yīng)用特定用戶的請(qǐng)求之間的狀態(tài)信息。相關(guān)類圖設(shè)計(jì)如下：

關(guān)鍵類或接口的作用如下：

Manager - 管理 Session 池，不同的實(shí)現(xiàn)提供特定的功能，如持久化和分布式
ManagerBase - 實(shí)現(xiàn)了一些基本功能，如 Session 池，唯一ID生成算法，便于繼承擴(kuò)展
StandardManager - 標(biāo)準(zhǔn)實(shí)現(xiàn)，可在此組件重新啟動(dòng)時(shí)提供簡(jiǎn)單的會(huì)話持久性（例如，當(dāng)整個(gè)服務(wù)器關(guān)閉并重新啟動(dòng)時(shí)，或重新加載特定Web應(yīng)用程序時(shí)）
PersistentManagerBase - 提供多種不同的持久化存儲(chǔ)管理方式，如文件和數(shù)據(jù)庫
Store - 提供持久化存儲(chǔ)和加載會(huì)話和用戶信息
ClusterManager - 集群 session 管理接口，負(fù)責(zé)會(huì)話的復(fù)制方式
DeltaManager - 將會(huì)話數(shù)據(jù)增量復(fù)制到集群中的所有成員
BackupManager - 將數(shù)據(jù)只復(fù)制到一個(gè)備份節(jié)點(diǎn)，集群中所有成員可看到這個(gè)節(jié)點(diǎn)

本文不分析集群復(fù)制的原理，只分析單機(jī) Session 的管理。

3.1 創(chuàng)建 Session

在 Servlet 中首次使用 Request.getSession() 獲取會(huì)話對(duì)象時(shí)，會(huì)創(chuàng)建一個(gè) StandardSession 實(shí)例：

public Session createSession(String sessionId) {
 // 默認(rèn)返回的是 new StandardSession(this) 實(shí)例
 Session session = createEmptySession();
 // 初始化屬性
 session.setNew(true);
 session.setValid(true);
 session.setCreationTime(System.currentTimeMillis());
 // 設(shè)置會(huì)話有效時(shí)間，單位 秒，默認(rèn) 30 分鐘，為負(fù)值表示永不過期
 session.setMaxInactiveInterval(((Context) getContainer()).getSessionTimeout() * 60);
 if (sessionId == null) {
  // 生成一個(gè)會(huì)話 ID
  sessionId = generateSessionId();
 
 session.setId(sessionId);
 sessionCounter++;

 SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
 synchronized (sessionCreationTiming) {
  sessionCreationTiming.add(timing);
  sessionCreationTiming.poll();
 }
 return (session);
}

關(guān)鍵就在于會(huì)話唯一標(biāo)識(shí)的生成，來看 Tomcat 的生成算法：

隨機(jī)獲取 16 個(gè)字節(jié)
使用 MD5 加密這些字節(jié)，再次得到一個(gè) 16 字節(jié)的數(shù)組
遍歷新的字節(jié)數(shù)組，使用每個(gè)字節(jié)的高低4位分別生成一個(gè)十六進(jìn)制字符
最后得到一個(gè) 32 位的十六進(jìn)制字符串

核心代碼如下：

protected String generateSessionId() {
 byte random[] = new byte[16];
 String jvmRoute = getJvmRoute();
 String result = null;
 // 將結(jié)果渲染為十六進(jìn)制數(shù)字的字符串
 StringBuffer buffer = new StringBuffer();
 do {
  int resultLenBytes = 0;
  if (result != null) { // 重復(fù)，重新生成
   buffer = new StringBuffer();
   duplicates++;
  }
  // sessionIdLength 為 16
  while (resultLenBytes < this.sessionIdLength) {
   getRandomBytes(random);// 隨機(jī)獲取 16 個(gè)字節(jié)
   // 獲取這16個(gè)字節(jié)的摘要，默認(rèn)使用 MD5
   random = getDigest().digest(random);
   // 遍歷這個(gè)字節(jié)數(shù)組，最后生成一個(gè)32位的十六進(jìn)制字符串
   for (int j = 0;
   j < random.length && resultLenBytes < this.sessionIdLength;
   j++) {
    // 使用指定字節(jié)的高低4位分別生成一個(gè)十六進(jìn)制字符
    byte b1 = (byte) ((random[j] & 0xf0) >> 4);
    byte b2 = (byte) (random[j] & 0x0f);
    // 轉(zhuǎn)為十六進(jìn)制數(shù)字字符
    if (b1 < 10) {buffer.append((char) ('0' + b1));}
    // 轉(zhuǎn)為大寫的十六進(jìn)制字符
    else {buffer.append((char) ('A' + (b1 - 10)));}
    
    if (b2 < 10) {buffer.append((char) ('0' + b2));}
    else {buffer.append((char) ('A' + (b2 - 10)));}
    resultLenBytes++;
   }
  }
  if (jvmRoute != null) {buffer.append('.').append(jvmRoute);}
  result = buffer.toString();
 } while (sessions.containsKey(result));
 return (result);
}

3.2 Session 過期檢查

一個(gè) Web 應(yīng)用對(duì)應(yīng)一個(gè)會(huì)話管理器，也就是說 StandardContext 內(nèi)部有一個(gè) Manager 實(shí)例。每個(gè)容器組件都會(huì)啟動(dòng)一個(gè)后臺(tái)線程，周期的調(diào)用自身以及內(nèi)部組件的 backgroundProcess() 方法，Manager 后臺(tái)處理就是檢查 Session 是否過期。

檢查的邏輯是，獲取所有 session 使用它的 isValid 判斷是否過期，代碼如下：

public boolean isValid() {
 ...
 // 是否檢查是否活動(dòng)，默認(rèn) false
 if (ACTIVITY_CHECK && accessCount.get() > 0) {
  return true;
 }
 // 檢查時(shí)間是否過期
 if (maxInactiveInterval >= 0) { 
  long timeNow = System.currentTimeMillis();
  int timeIdle = (int) ((timeNow - thisAccessedTime) / 1000L);
  if (timeIdle >= maxInactiveInterval) {
   // 如果過期，執(zhí)行一些內(nèi)部處理
   // 主要是通知對(duì)過期事件感興趣的 listeners
   expire(true);
  }
 } // 復(fù)數(shù)永不過期
 return (this.isValid);
}

3.3 Session 持久化

持久化就是把內(nèi)存中活動(dòng)的 Session 對(duì)象，序列化到文件，或者存儲(chǔ)到一個(gè)數(shù)據(jù)庫中。如果會(huì)話管理組件符合并啟用了持久化功能，那么就會(huì)在它生命周期事件 stop 方法中執(zhí)行存儲(chǔ)；在 start 方法中執(zhí)行加載。

持久化到文件，StandardManager 也提供了持久化到文件的功能，它會(huì)把 session 池中活動(dòng)的會(huì)話全部寫入到CATALINA_HOME/work/Catalina/<host>/<webapp>/SESSIONS.ser文件中，代碼在它的 doUnload 方法中。

FileStore 也提供了持久化到文件的功能，與 StandardManager 的區(qū)別是，它會(huì)把每個(gè)會(huì)話寫入到單個(gè)文件中，以 <id>.session 命名。

持久化到數(shù)據(jù)庫，分別把 session 相關(guān)數(shù)據(jù)存儲(chǔ)到一個(gè)表中，包括序列化后的二進(jìn)制數(shù)據(jù)，表字段信息如下:

create table tomcat_sessions (
 session_id   varchar(100) not null primary key,
 valid_session char(1) not null, -- 是否有效
 max_inactive  int not null,-- 最大有效時(shí)間
 last_access  bigint not null, -- 最后訪問時(shí)間
 app_name    varchar(255), -- 應(yīng)用名，格式為 /Engine/Host/Context
 session_data  mediumblob, -- 二進(jìn)制數(shù)據(jù)
 KEY kapp_name(app_name)
);

注意：需要把數(shù)據(jù)庫驅(qū)動(dòng)程序的 jar 文件，放到 $CATALINA_HOME/lib 目錄中，以便讓 Tomcat 內(nèi)部的類加載器可見。

4. 小結(jié)

本文簡(jiǎn)單分析了 Tomcat 對(duì) Session 的管理，當(dāng)然了忽略了很多細(xì)節(jié)，有興趣的可以深入源碼，后續(xù)將會(huì)對(duì) Tomcat 集群 Session 的實(shí)現(xiàn)進(jìn)行分析。

總結(jié)

以上就是這篇文章的全部?jī)?nèi)容了，希望本文的內(nèi)容對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值，謝謝大家對(duì)腳本之家的支持。

您可能感興趣的文章: