HTTP協(xié)議(http://www./Protocols/)是“一次性單向”協(xié)議。
服務(wù)端不能主動連接客戶端��,只能被動等待并答復(fù)客戶端請求��?���?蛻舳诉B接服務(wù)端,發(fā)出一個HTTP Request��,服務(wù)端處理請求�,并且返回一個HTTP Response給客戶端,本次HTTP Request-Response Cycle結(jié)束��。
我們看到�����,HTTP協(xié)議本身并不能支持服務(wù)端保存客戶端的狀態(tài)信息���。于是�����,Web Server中引入了session的概念�,用來保存客戶端的狀態(tài)信息。
這里用一個形象的比喻來解釋session的工作方式���。假設(shè)Web Server是一個商場的存包處�,HTTP Request是一個顧客���,第一次來到存包處��,管理員把顧客的物品存放在某一個柜子里面(這個柜子就相當于Session)��,然后把一個號碼牌交給這個顧客,作為取包憑證(這個號碼牌就是Session ID)�����。顧客(HTTP Request)下一次來的時候����,就要把號碼牌(Session ID)交給存包處(Web Server)的管理員。管理員根據(jù)號碼牌(Session ID)找到相應(yīng)的柜子(Session)���,根據(jù)顧客(HTTP Request)的請求�,Web Server可以取出、更換�����、添加柜子(Session)中的物品���,Web Server也可以讓顧客(HTTP Request)的號碼牌和號碼牌對應(yīng)的柜子(Session)失效�。顧客(HTTP Request)的忘性很大���,管理員在顧客回去的時候(HTTP Response)都要重新提醒顧客記住自己的號碼牌(Session ID)��。這樣���,顧客(HTTP Request)下次來的時候,就又帶著號碼牌回來了�����。
我們可以看到����,Session ID實際上是在客戶端和服務(wù)端之間通過HTTP Request和HTTP Response傳來傳去的�。
我們看到��,號碼牌(Session ID)必須包含在HTTP Request里面��。關(guān)于HTTP Request的具體格式��,請參見HTTP協(xié)議(http://www./Protocols/)���。這里只做一個簡單的介紹����。
在Java Web Server(即Servlet/JSP Server)中��,Session ID用jsessionid表示(請參見Servlet規(guī)范)�����。
HTTP Request一般由3部分組成:
(1)Request Line
這一行由HTTP Method(如GET或POST)�、URL���、和HTTP版本號組成���。
例如��,GET http://www./pub/WWW/TheProject.html HTTP/1.1
GET http://www.google.com/search?q=Tomcat HTTP/1.1
POST http://www.google.com/search HTTP/1.1
GET http://www./menu.do;jsessionid=1001 HTTP/1.1
(2)Request Headers
這部分定義了一些重要的頭部信息��,如���,瀏覽器的種類,語言���,類型���。Request Headers中還可以包括Cookie的定義。例如:
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001
(3)Message Body
如果HTTP Method是GET���,那么Message Body為空�。
如果HTTP Method是POST����,說明這個HTTP Request是submit一個HTML Form的結(jié)果,
那么Message Body為HTML Form里面定義的Input屬性�。例如,
user=guest
password=guest
jsessionid=1001
主意��,如果把HTML Form元素的Method屬性改為GET���。那么���,Message Body為空��,所有的Input屬性都會加在URL的后面�����。你在瀏覽器的URL地址欄中會看到這些屬性��,類似于
http://www.somesite/login.do?user=guest&password=guest&jsessionid=1001
從理論上來說��,這3個部分(Request URL����,Cookie Header, Message Body)都可以用來存放Session ID��。由于Message Body方法必須需要一個包含Session ID的HTML Form�����,所以這種方法不通用����。
一般用來實現(xiàn)Session的方法有兩種:
(1)URL重寫。
Web Server在返回Response的時候��,檢查頁面中所有的URL��,包括所有的連接��,和HTML Form的Action屬性����,在這些URL后面加上“;jsessionid=XXX”。
下一次��,用戶訪問這個頁面中的URL���。jsessionid就會傳回到Web Server��。
(2)Cookie��。
如果客戶端支持Cookie�����,Web Server在返回Response的時候���,在Response的Header部分����,加入一個“set-cookie: jsessionid=XXXX”header屬性���,把jsessionid放在Cookie里傳到客戶端�����。
客戶端會把Cookie存放在本地文件里�,下一次訪問Web Server的時候����,再把Cookie的信息放到HTTP Request的“Cookie”header屬性里面,這樣jsessionid就隨著HTTP Request返回給Web Server�����。
我們來看Tomcat5的源代碼如何支持jsessionid����。
org.apache.coyote.tomcat5.CoyoteResponse類的toEncoded()方法支持URL重寫。
String toEncoded(String url, String sessionId) {
…
StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can‘t be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}
我們來看org.apache.coyote.tomcat5.CoyoteRequest的兩個方法configureSessionCookie()
doGetSession()用Cookie支持jsessionid.
/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
…
}
HttpSession doGetSession(boolean create){
…
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}
…
}
Session的典型應(yīng)用是存放用戶的Login信息�����,如用戶名,密碼�����,權(quán)限角色等信息���,應(yīng)用程序(如Email服務(wù)、網(wǎng)上銀行等系統(tǒng))根據(jù)這些信息進行身份驗證和權(quán)限驗證
