JavaEE 要懂的小事:三、圖解Session(會話)


Writer      :BYSocket(泥沙磚瓦漿木匠)

微         博:BYSocket

豆         瓣:BYSocket

FaceBook:BYSocket

Twitter    :BYSocket

相繼 圖解Http協議 和 圖解Cookie 之后,中間迷茫期哈,沒寫了!可是又要告訴你自己明明喜歡寫為啥不寫了!那就寫吧,學到老學到老~ 然后寫到老!本系列皆以圖為主,力求簡單易懂,娓娓道來`

 

一、Session由來

HTTP的無狀態,也就是說,每次請求都是獨立的線程。舉個例子吧:購物中,你選擇了A商品,加入購物車,這就是A線程。然后在選擇B商品就是B線程。可是每次線程獨立(對容器而言,A、B成了不同的用戶),線程A不知道有B,B也不知道A。如何一起付款呢?

簡答來說:怎么保存同個用戶多個請求會話狀態呢?自然HTTPS保證連接是安全的,可以使它與一個會話關聯。

問題就在於如何跟蹤同一個用戶,選擇自然很多:

1、EJB(有狀態會話bean保存會話狀態) 環境苛刻需要帶EJB的J2EE服務器,而不是Tomcat這種Web容器。

2、數據庫(這貌似萬能的。針對數據)

3、就是我們要講的HttpSeesion保存跨一個特定用戶多個請求的會話狀態

4、上面說的HTTPS,條件太苛刻了。

如圖:session

 

 

二、Session機制

機制,什么用詞有點高大上。其實就是把它內在的一點東西說出來。主要兩個W:What?How?

What is Session?

Session代表着服務器客戶端一次會話的過程。直到session失效(服務端關閉),或者客戶端關閉時結束。

How does session works?

Session 是存儲服務端的,並針對每個客戶端(客戶),通過SessionID來區別不同用戶的。Session是以Cookie技術或URL重寫實現。默認以Cookie技術實現,服務端會給這次會話創造一個JSESSIONID的Cookie值。

 

補充

其實還有一種技術:表單隱藏字段。它也可以實現session機制。這里只是作為補充,服務器響應前,會修改form表單,添加一個sessionID類似的隱藏域,以便傳回服務端的時候可以標示出此會話。

這技術,也可以使用在Web安全上,可以有效地控制CRSF跨站請求偽造

三、詳細介紹Seesion機制過程

繪圖3

 

 

 

圖中這是session第一次請求的詳細圖。以Cookie技術實現,我也寫了個HttpSessionByCookieServletT.java 的Servlet小demo,模擬下Seesion的一生。代碼如下:

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
package org.servlet.sessionMngmt;
 
import java.io.IOException;
import java.io.PrintWriter;
 
import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
/*
  * Copyright [2015] [Jeff Lee]
  *
  * Licensed under the Apache License, Version 2.0 (the "License");
  * you may not use this file except in compliance with the License.
  * You may obtain a copy of the License at
  *
  *
  * Unless required by applicable law or agreed to in writing, software
  * distributed under the License is distributed on an "AS IS" BASIS,
  * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
  * See the License for the specific language governing permissions and
  * limitations under the License.
  */
 
/**
  * @author Jeff Lee
  * @since 2015-7-12 10:58:28
  *  HttpSession的默認Cookie實現案例
  */
@WebServlet (urlPatterns =  "/sessionByCookie" )
public class HttpSessionByCookieServletT  extends HttpServlet {
 
     private static final long serialVersionUID = 1L;
 
     @Override
     protected void doGet(HttpServletRequest req, HttpServletResponse resp)
             throws ServletException, IOException {
         
         // 獲取session
         // 如果是第一次請求的話,會創建一個HttpSeesion,等同於 req.getSession(true);
         // 如果已存在session,則會獲取session。
         HttpSession session = req.getSession();
         
         if (session.isNew()) {
             // 設置session屬性值
             session.setAttribute( "name" "Jeff" );
         }
         // 獲取SessionId
         String sessionId = session.getId();
         
         PrintWriter out = resp.getWriter();
         // 如果HttpSeesion是新建的話
         if (session.isNew()) {
             out.println( "Hello,HttpSession! <br>The first response - SeesionId="
                     + sessionId +  " <br>" );
         else {
             out.println( "Hello,HttpSession! <br>The second response - SeesionId="
                     + sessionId +  " <br>" );
             // 從Session獲取屬性值
             out.println( "The second-response - name: "
                     + session.getAttribute( "name" ));
         }
         
     }
     
}

隆重打個小廣告:

泥瓦匠學習的代碼都在github上(同步osc git),歡迎大家點star,提意見,一起進步。地址:https://github.com/JeffLi1993

① 客戶端向服務端發送第一次請求

此時,客戶端想讓服務端把自己的名字設置到會話中。

② 服務端的容器產生該用戶唯一sessionID的session對象,並設置值

可以從代碼中看出通過從請求中req.getSession(),新生成了一個session對象。並設置了setAttribute(“name”, “Jeff”),key為string,value是對象皆可。

這時候,我們不用再把session通過cookie技術處理,容器幫我們處理了。

③ 容器響應 Set-Cookie:JSESSIONID= …

我們可以F12,查看此次響應。

image

 

從圖中可得到,每個Cookie的set,都有一個對應Set-Cookie的頭。HttpOnly可是此Cookie只讀模式。只不過session唯一標識是:JSESSIONID

④ 瀏覽器解析Cookie,保存至瀏覽器文件。

image

如圖,找到了對應的session存儲的cookie文件。該文件被保護不能打開。圖解Cookie 教你怎么找到該文件。

 

第二次請求會發什么變化呢?

session2

 

下面,泥瓦匠重新訪問了這個地址:

① 再次請求

image

此時,請求會有Cookie值:JSESSIONID=… 該值傳給服務端

② 容器獲取SessionId
,關聯HttpSession

③ 此時響應無SetCookie

如圖:

image

但是這次請求,我們響應出上一次請求set的值。Jeff 就打印出來了!

 

關於服務端獲取session,也就是從請求中獲取session對象,容器會幫你根據Cookie找到唯一的session對象。

泥瓦匠記憶小抄:Seesion機制,記住兩次請求圖即可。

 

四、補充

點到為止哈~ 以后詳細寫。此圖來自網絡

wkiom1l4oh2s5jwhaaa5g2i22fe912

上圖Bad guy,就是攻擊者。跨站請求偽造,偽造用戶請求來對服務器數據或者是用戶等造成威脅。web安全也就是從這些基礎中慢慢提升。

 

五、總結

1、大概地描述了session的工作機制,和一些安全相關。記住Seesion是什么,怎么用,在服務端客戶端之間怎么傳輸即可。

2、泥瓦匠學習的代碼都在github上(同步osc git),歡迎大家點star,提意見,一起進步。地址:https://github.com/JeffLi1993

 

Writer      :BYSocket(泥沙磚瓦漿木匠)

微         博:BYSocket

豆         瓣:BYSocket

FaceBook:BYSocket

Twitter    :BYSocket


免責聲明!

本站轉載的文章為個人學習借鑒使用,本站對版權不負任何法律責任。如果侵犯了您的隱私權益,請聯系本站郵箱yoyou2525@163.com刪除。



 
粵ICP備18138465號   © 2018-2025 CODEPRJ.COM