前言
HTTP 是一種無狀態(tài)通信協(xié)議,每個請求之間相互獨立,服務(wù)器不能識別曾經(jīng)來過的請求。而對于 Web 應(yīng)用,它的活動都是依賴某個狀態(tài)的,比如用戶登錄,此時使用 HTTP 就需要它在一次登錄請求后,有為后續(xù)請求提供已登錄信息的能力。本文首發(fā)于公眾號頓悟源碼.
解決辦法就是使用 Cookie,它由服務(wù)器返回給瀏覽器,瀏覽器緩存并在每次請求時將 cookie 數(shù)據(jù)提交到服務(wù)器。Cookies 在請求中以明文傳輸,且大小限制 4KB,顯然把所有狀態(tài)數(shù)據(jù)保存在瀏覽器是不靠譜的,主流做法是:
- 瀏覽器發(fā)出第一個請求時,服務(wù)器為用戶分配一個唯一標(biāo)識符,返回并存入瀏覽器的 Cookies 中
- 服務(wù)器內(nèi)部維護(hù)一個全局的請求狀態(tài)庫,并使用生成的唯一標(biāo)識符關(guān)聯(lián)每個請求的狀態(tài)信息
- 瀏覽器后續(xù)發(fā)出的請求,都將唯一標(biāo)識符提交給服務(wù)器,以便獲取之前請求的狀態(tài)信息
為了方便管理,服務(wù)器把整個過程稱為會話,并抽象成一個 Session 類,用于識別和存儲有關(guān)該用戶的信息或狀態(tài)。
接下來,將通過會話標(biāo)識符的解析和生成,Session 的創(chuàng)建、銷毀和持久化等問題,分析 Tomcat 的源碼實現(xiàn),版本使用的是 6.0.53。
1. 解析會話標(biāo)識符
Cookie 作為最常用的會話跟蹤機制,所有的 Servlet 容器都支持,Tomcat 也不例外,在 Tomcat 中,表示存儲會話標(biāo)識符的 cookie 的標(biāo)準(zhǔn)名字是 JSESSIONID。
如果如果瀏覽器不支持 Cookie,也可以使用以下辦法,記錄標(biāo)識符:
- URL 重寫: 作為路徑參數(shù)包含到 url 中,如 /path;JSESSIONID=xxx
- URL 請求參數(shù): 將會話唯一標(biāo)識作為查詢參數(shù)添加到頁面所有鏈接中,如 /path?JSESSIONID=xxx
- FORM 隱藏字段: 表單中使用一個隱藏字段存儲唯一值,隨表單提交到服務(wù)器
Tomcat 就實現(xiàn)了從 URL 重寫路徑和 Cookie 中提取 JSESSIONID。在分析源碼之前,首先看下設(shè)置 Cookie 的響應(yīng)和帶 Cookie 的請求它們頭域的關(guān)鍵信息:
// 設(shè)置 Cookie
HTTP/1.1 200 OK
Server: Apache-Coyote/1.1
Set-Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91; Path=/examples
Date: Sun, 12 May 2019 01:40:35 GMT
// 提交 Cookie
GET /examples/servlets/servlet/SessionExample HTTP/1.1
Host: localhost:8080
Cookie: JSESSIONID=56AE5B92C272EA4F5E0FBFEFE6936C91
1.1 從 URL 重寫路徑
一個包含會話 ID 路徑參數(shù)的 URL 如下:
http://localhost:8080/examples/SessionExample;JSESSIONID=1234;n=v/?x=x
簡單來看就是查找匹配分號和最后一個斜線之間的 JSESSIONID,事實也是如此,只不過 Tomcat 操作的是字節(jié),核心代碼在 CoyoteAdapter.parsePathParameters() 方法,這里不在貼出。
1.2 從 Cookie 頭域
觸發(fā) Cookie 解析的方法調(diào)用如下:
CoyoteAdapter.service(Request, Response)
└─CoyoteAdapter.postParseRequest(Request, Request, Response, Response)
└─CoyoteAdapter.parseSessionCookiesId(Request, Request)
└─Cookies.getCookieCount()
└─Cookies.processCookies(MimeHeaders)
└─Cookies.processCookieHeader(byte[], int, int)
這個 processCookieHeader 操作的是字節(jié),解析看起來不直觀,在 Tomcat 內(nèi)部還有一個被標(biāo)記廢棄的使用字符串解析的方法,有助于理解,代碼如下:
private void processCookieHeader( String cookieString ){
// 多個 cookie 值以逗號分割
StringTokenizer tok = new StringTokenizer(cookieString, ";", false);
while (tok.hasMoreTokens()) {
String token = tok.nextToken();
// 獲取等號的位置
int i = token.indexOf("=");
if (i > -1) {
// 獲取name 和 value 并去除空格
String name = token.substring(0, i).trim();
String value = token.substring(i+1, token.length()).trim();
// RFC 2109 and bug 去除兩頭的雙引號 "
value=stripQuote( value );
// 從內(nèi)部 cookie 緩存池中獲取一個 ServerCookie 對象
ServerCookie cookie = addCookie();
// 設(shè)置 name 和 value
cookie.getName().setString(name);
cookie.getValue().setString(value);
} else {
// we have a bad cookie.... just let it go
}
}
}
解析完畢,接下來就是在 parseSessionCookiesId 方法遍歷并嘗試匹配名稱為 JSESSIONID 的 Cookie,如果存在,則將其值設(shè)為 Request 的 requestedSessionId,與內(nèi)部的一個 Session 對象關(guān)聯(lián)。
2. 生成會話 Cookie
與會話相關(guān)的 Cookie 是 Tomcat 內(nèi)部自己生成的,當(dāng)在 Servlet 中使用 Request.getSession() 獲取會話對象時,就會觸發(fā)執(zhí)行,核心代碼:
protected Session doGetSession(boolean create) {
...
// 創(chuàng)建 Session 實例
if (connector.getEmptySessionPath() && isRequestedSessionIdFromCookie()) {
// 如果會話 ID 來自 cookie,請重用該 ID,如果來自 URL,請不要
// 重用該會話ID,以防止可能的網(wǎng)絡(luò)釣魚攻擊
session = manager.createSession(getRequestedSessionId());
} else {
session = manager.createSession(null);
}
// 基于該 Session 創(chuàng)建一個新的會話 cookie
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
String scName = context.getSessionCookieName();
if (scName == null) {
// 默認(rèn) JSESSIONID
scName = Globals.SESSION_COOKIE_NAME;
}
// 新建 Cookie
Cookie cookie = new Cookie(scName, session.getIdInternal());
// 設(shè)置 path domain secure
configureSessionCookie(cookie);
// 添加到響應(yīng)頭域
response.addSessionCookieInternal(cookie, context.getUseHttpOnly());
}
if (session != null) {
session.access();
return (session);
} else {
return (null);
}
}
添加到響應(yīng)頭域,就是根據(jù) Cookie 對象,生成如開始描述的格式那樣。
3. Session
Session 是 Tomcat 內(nèi)部的一個接口,是 HttpSession 的外觀類,用于維護(hù) web 應(yīng)用特定用戶的請求之間的狀態(tài)信息。相關(guān)類圖設(shè)計如下:
關(guān)鍵類或接口的作用如下:
- Manager - 管理 Session 池,不同的實現(xiàn)提供特定的功能,如持久化和分布式
- ManagerBase - 實現(xiàn)了一些基本功能,如 Session 池,唯一ID生成算法,便于繼承擴展
- StandardManager - 標(biāo)準(zhǔn)實現(xiàn),可在此組件重新啟動時提供簡單的會話持久性(例如,當(dāng)整個服務(wù)器關(guān)閉并重新啟動時,或重新加載特定Web應(yīng)用程序時)
- PersistentManagerBase - 提供多種不同的持久化存儲管理方式,如文件和數(shù)據(jù)庫
- Store - 提供持久化存儲和加載會話和用戶信息
- ClusterManager - 集群 session 管理接口,負(fù)責(zé)會話的復(fù)制方式
- DeltaManager - 將會話數(shù)據(jù)增量復(fù)制到集群中的所有成員
- BackupManager - 將數(shù)據(jù)只復(fù)制到一個備份節(jié)點,集群中所有成員可看到這個節(jié)點
本文不分析集群復(fù)制的原理,只分析單機 Session 的管理。
3.1 創(chuàng)建 Session
在 Servlet 中首次使用 Request.getSession() 獲取會話對象時,會創(chuàng)建一個 StandardSession 實例:
public Session createSession(String sessionId) {
// 默認(rèn)返回的是 new StandardSession(this) 實例
Session session = createEmptySession();
// 初始化屬性
session.setNew(true);
session.setValid(true);
session.setCreationTime(System.currentTimeMillis());
// 設(shè)置會話有效時間,單位 秒,默認(rèn) 30 分鐘,為負(fù)值表示永不過期
session.setMaxInactiveInterval(((Context) getContainer()).getSessionTimeout() * 60);
if (sessionId == null) {
// 生成一個會話 ID
sessionId = generateSessionId();
session.setId(sessionId);
sessionCounter++;
SessionTiming timing = new SessionTiming(session.getCreationTime(), 0);
synchronized (sessionCreationTiming) {
sessionCreationTiming.add(timing);
sessionCreationTiming.poll();
}
return (session);
}
關(guān)鍵就在于會話唯一標(biāo)識的生成,來看 Tomcat 的生成算法:
- 隨機獲取 16 個字節(jié)
- 使用 MD5 加密這些字節(jié),再次得到一個 16 字節(jié)的數(shù)組
- 遍歷新的字節(jié)數(shù)組,使用每個字節(jié)的高低4位分別生成一個十六進(jìn)制字符
- 最后得到一個 32 位的十六進(jìn)制字符串
核心代碼如下:
protected String generateSessionId() {
byte random[] = new byte[16];
String jvmRoute = getJvmRoute();
String result = null;
// 將結(jié)果渲染為十六進(jìn)制數(shù)字的字符串
StringBuffer buffer = new StringBuffer();
do {
int resultLenBytes = 0;
if (result != null) { // 重復(fù),重新生成
buffer = new StringBuffer();
duplicates++;
}
// sessionIdLength 為 16
while (resultLenBytes < this.sessionIdLength) {
getRandomBytes(random);// 隨機獲取 16 個字節(jié)
// 獲取這16個字節(jié)的摘要,默認(rèn)使用 MD5
random = getDigest().digest(random);
// 遍歷這個字節(jié)數(shù)組,最后生成一個32位的十六進(jìn)制字符串
for (int j = 0;
j < random.length && resultLenBytes < this.sessionIdLength;
j++) {
// 使用指定字節(jié)的高低4位分別生成一個十六進(jìn)制字符
byte b1 = (byte) ((random[j] & 0xf0) >> 4);
byte b2 = (byte) (random[j] & 0x0f);
// 轉(zhuǎn)為十六進(jìn)制數(shù)字字符
if (b1 < 10) {buffer.append((char) ('0' + b1));}
// 轉(zhuǎn)為大寫的十六進(jìn)制字符
else {buffer.append((char) ('A' + (b1 - 10)));}
if (b2 < 10) {buffer.append((char) ('0' + b2));}
else {buffer.append((char) ('A' + (b2 - 10)));}
resultLenBytes++;
}
}
if (jvmRoute != null) {buffer.append('.').append(jvmRoute);}
result = buffer.toString();
} while (sessions.containsKey(result));
return (result);
}
3.2 Session 過期檢查
一個 Web 應(yīng)用對應(yīng)一個會話管理器,也就是說 StandardContext 內(nèi)部有一個 Manager 實例。每個容器組件都會啟動一個后臺線程,周期的調(diào)用自身以及內(nèi)部組件的 backgroundProcess() 方法,Manager 后臺處理就是檢查 Session 是否過期。
檢查的邏輯是,獲取所有 session 使用它的 isValid 判斷是否過期,代碼如下:
public boolean isValid() {
...
// 是否檢查是否活動,默認(rèn) false
if (ACTIVITY_CHECK && accessCount.get() > 0) {
return true;
}
// 檢查時間是否過期
if (maxInactiveInterval >= 0) {
long timeNow = System.currentTimeMillis();
int timeIdle = (int) ((timeNow - thisAccessedTime) / 1000L);
if (timeIdle >= maxInactiveInterval) {
// 如果過期,執(zhí)行一些內(nèi)部處理
// 主要是通知對過期事件感興趣的 listeners
expire(true);
}
} // 復(fù)數(shù)永不過期
return (this.isValid);
}
3.3 Session 持久化
持久化就是把內(nèi)存中活動的 Session 對象,序列化到文件,或者存儲到一個數(shù)據(jù)庫中。如果會話管理組件符合并啟用了持久化功能,那么就會在它生命周期事件 stop 方法中執(zhí)行存儲;在 start 方法中執(zhí)行加載。
持久化到文件,StandardManager 也提供了持久化到文件的功能,它會把 session 池中活動的會話全部寫入到CATALINA_HOME/work/Catalina/<host>/<webapp>/SESSIONS.ser文件中,代碼在它的 doUnload 方法中。
FileStore 也提供了持久化到文件的功能,與 StandardManager 的區(qū)別是,它會把每個會話寫入到單個文件中,以 <id>.session 命名。
持久化到數(shù)據(jù)庫,分別把 session 相關(guān)數(shù)據(jù)存儲到一個表中,包括序列化后的二進(jìn)制數(shù)據(jù),表字段信息如下:
create table tomcat_sessions (
session_id varchar(100) not null primary key,
valid_session char(1) not null, -- 是否有效
max_inactive int not null,-- 最大有效時間
last_access bigint not null, -- 最后訪問時間
app_name varchar(255), -- 應(yīng)用名,格式為 /Engine/Host/Context
session_data mediumblob, -- 二進(jìn)制數(shù)據(jù)
KEY kapp_name(app_name)
);
注意:需要把數(shù)據(jù)庫驅(qū)動程序的 jar 文件,放到 $CATALINA_HOME/lib 目錄中,以便讓 Tomcat 內(nèi)部的類加載器可見。
4. 小結(jié)
本文簡單分析了 Tomcat 對 Session 的管理,當(dāng)然了忽略了很多細(xì)節(jié),有興趣的可以深入源碼,后續(xù)將會對 Tomcat 集群 Session 的實現(xiàn)進(jìn)行分析。
總結(jié)
以上就是這篇文章的全部內(nèi)容了,希望本文的內(nèi)容對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價值,謝謝大家對腳本之家的支持。
