JavaEE 要懂的小事:三、圖解Session(會話)
作者:李強強
相繼 圖解Http協議 和 圖解Cookie 之後,中間迷茫期哈,沒寫了!可是又要告訴你自己明明喜歡寫為啥不寫了!那就寫吧,學到老學到老~ 然後寫到老!本系列皆以圖為主,力求簡單易懂,娓娓道來。
一、Session由來
HTTP的無狀態,也就是說,每次請求都是獨立的執行緒。舉個例子吧:購物中,你選擇了A商品,加入購物車,這就是A執行緒。然後在選擇B商品就是B執行緒。可是每次執行緒獨立(對容器而言,A、B成了不同的使用者),執行緒A不知道有B,B也不知道A。如何一起付款呢?
簡答來說:怎麼儲存同個使用者多個請求會話狀態呢?自然HTTPS保證連線是安全的,可以使它與一個會話關聯。
問題就在於如何跟蹤同一個使用者,選擇自然很多:
1、EJB(有狀態會話bean儲存會話狀態) 環境苛刻需要帶EJB的J2EE伺服器,而不是Tomcat這種Web容器。
2、資料庫(這貌似萬能的。針對資料)
3、就是我們要講的HttpSeesion,儲存跨一個特定使用者多個請求的會話狀態。
4、上面說的HTTPS,條件太苛刻了。
二、Session機制
機制,什麼用詞有點高大上。其實就是把它內在的一點東西說出來。主要兩個W:What?How?
What is Session?
Session代表著伺服器和客戶端一次會話的過程。直到session失效(服務端關閉),或者客戶端關閉時結束。
How does session works?
Session 是儲存在服務端的,並針對每個客戶端(客戶),通過SessionID來區別不同使用者的。Session是以Cookie技術或URL重寫實現。預設以Cookie技術實現,服務端會給這次會話創造一個JSESSIONID的Cookie值。
補充:
其實還有一種技術:表單隱藏欄位。它也可以實現session機制。這裡只是作為補充,伺服器響應前,會修改form表單,新增一個sessionID類似的隱藏域,以便傳回服務端的時候可以標示出此會話。
這技術,也可以使用在Web安全上,可以有效地控制CSRF跨站請求偽造。
三、詳細介紹Seesion機制過程
圖中這是session第一次請求的詳細圖。以Cookie技術實現,我也寫了個HttpSessionByCookieServletT.java 的Servlet小demo,模擬下Seesion的一生。程式碼如下:
package org.servlet.sessionMngmt; import java.io.IOException; import java.io.PrintWriter; import javax.servlet.ServletException; import javax.servlet.annotation.WebServlet; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; /* * Copyright [2015] [Jeff Lee] * * Licensed under the Apache License, Version 2.0 (the "License"); * you may not use this file except in compliance with the License. * You may obtain a copy of the License at * * http://www.apache.org/licenses/LICENSE-2.0 * * Unless required by applicable law or agreed to in writing, software * distributed under the License is distributed on an "AS IS" BASIS, * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied. * See the License for the specific language governing permissions and * limitations under the License. */ /** * @author Jeff Lee * @since 2015-7-12 10:58:28 * HttpSession的預設Cookie實現案例 */ @WebServlet(urlPatterns = "/sessionByCookie") public class HttpSessionByCookieServletT extends HttpServlet { private static final long serialVersionUID = 1L; @Override protected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException { // 獲取session // 如果是第一次請求的話,會建立一個HttpSeesion,等同於 req.getSession(true); // 如果已存在session,則會獲取session。 HttpSession session = req.getSession(); if (session.isNew()) { // 設定session屬性值 session.setAttribute("name", "Jeff"); } // 獲取SessionId String sessionId = session.getId(); PrintWriter out = resp.getWriter(); // 如果HttpSeesion是新建的話 if (session.isNew()) { out.println("Hello,HttpSession! <br>The first response - SeesionId=" + sessionId + " <br>"); } else { out.println("Hello,HttpSession! <br>The second response - SeesionId=" + sessionId + " <br>"); // 從Session獲取屬性值 out.println("The second-response - name: " + session.getAttribute("name")); } } }
隆重打個小廣告:
泥瓦匠學習的程式碼都在github上(同步osc git),歡迎大家點star,提意見,一起進步。地址:https://github.com/JeffLi1993
① 客戶端向服務端傳送第一次請求
此時,客戶端想讓服務端把自己的名字設定到會話中。
② 服務端的容器產生該使用者唯一sessionID的session物件,並設定值
可以從程式碼中看出通過從請求中req.getSession(),新生成了一個session物件。並設定了setAttribute(“name”, “Jeff”),key為string,value是物件皆可。
這時候,我們不用再把session通過cookie技術處理,容器幫我們處理了。
③ 容器響應 Set-Cookie:JSESSIONID= …
我們可以F12,檢視此次響應。
從圖中可得到,每個Cookie的set,都有一個對應Set-Cookie的頭。HttpOnly可是此Cookie只讀模式。只不過session唯一標識是:JSESSIONID
④ 瀏覽器解析Cookie,儲存至瀏覽器檔案。
如圖,找到了對應的session儲存的cookie檔案。該檔案被保護不能開啟。圖解Cookie 教你怎麼找到該檔案。
第二次請求會發什麼變化呢?
下面,泥瓦匠重新訪問了這個地址:
① 再次請求
此時,請求會有Cookie值:JSESSIONID=… 該值傳給服務端
② 容器獲取SessionId
,關聯HttpSession
③ 此時響應無SetCookie
如圖:
但是這次請求,我們響應出上一次請求set的值。Jeff 就打印出來了!
關於服務端獲取session,也就是從請求中獲取session物件,容器會幫你根據Cookie找到唯一的session物件。
泥瓦匠記憶小抄:Seesion機制,記住兩次請求圖即可。
四、補充
點到為止哈~ 以後詳細寫。此圖來自網路
上圖Bad guy,就是攻擊者。跨站請求偽造,偽造使用者請求來對伺服器資料或者是使用者等造成威脅。web安全也就是從這些基礎中慢慢提升。
五、總結
1、大概地描述了session的工作機制,和一些安全相關。記住Seesion是什麼,怎麼用,在服務端客戶端之間怎麼傳輸即可。
2、泥瓦匠學習的程式碼都在github上(同步osc git),歡迎大家點star,提意見,一起進步。地址:https://github.com/JeffLi1993
Writer :BYSocket(泥沙磚瓦漿木匠)