SessionID是由服务器的那部分程序生成的

最新推荐文章于 2023-06-15 16:47:05 发布
原创 最新推荐文章于 2023-06-15 16:47:05 发布 · 261 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#java

本文介绍如何通过修改Tomcat的context.xml文件中的Manager标签来调整生成SESSIONID的算法及长度,以提高高并发场景下的性能表现。文章还探讨了自定义会话ID生成器的方法。
修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:
<Manager
sessionIdLength="[color=red][b]20[/b][/color]"
pathname="SESSIONS.ser"
maxActiveSessions="8000"
secureRandomAlgorithm="[color=red][b]SHA1PRNG[/b][/color]"
secureRandomClass="java.security.SecureRandom"
maxInactiveInterval="60"
/>
标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.
更多配置见:[url]http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html[/url]
TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。
实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码
/**
* Generate and return a new session identifier.
*/
protected String generateSessionId() {
String result = null;
do {
if (result != null) {
duplicates++;
}
result = sessionIdGenerator.generateSessionId();
} while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的
return result;
}
所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。
因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用 java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等 等。

参考:[url]https://zhidao.baidu.com/question/918631293708871579.html[/url]
[url]http://www.cnblogs.com/hibernate3-example/archive/2012/05/09/2492796.html[/url]
sessionid如何产生?由谁产生?保存在哪里?
Top5软件工程硕士,先后在京东、字节从事多年Java后端开发、实时和离线大数据开发
03-02 2万+
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionid。 session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间...
sessionId生成机制
weixin_30616969的博客
09-07 2823
目录 面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。 参考:http://www.cnblogs.com/sharpxiajun/p/3395607.html http://lavasoft.blog.51cto.com/62575/275589/ sessionid是一个会话的key,浏览器第一次访问服务器会在服务...
java session id 生成_后端如何生成SESSIONID
weixin_32932149的博客
02-13 1358
从 众所周知 开始后面就都是错的,你根本就不知道什么是 Session。HTTP 是无状态的,服务端收到两个请求时,它并不能知道这两个请求之间有什么关系(比如是否是由同一个客户端发出,这也是最重要的)。为了解决这个问题,浏览器引入了 Cookie 了机制,即首次请求服务端后,由服务端返回一个 Set-Cookie 响应标头,浏览器收到后会自动存储(也可以是接口形式返回,前端由 JS 来操作写入 C...
java session id 生成_Java通过sessionId获取Session
weixin_29702195的博客
02-16 1430
Servlet2.1之后不支持SessionContext里面getSession(String id)方法。但是,我们可以通过HttpSessionListener监听器和全局静态map自己实现一个SessionContext。MySessionContext.java:public class MySessionContext {private static HashMap mymap = n...
java session id 生成_sessionid如何产生?由谁产生?保存在哪里?
weixin_42513928的博客
02-13 1696
面试问道这个我居然不知道怎么回答,当然也是因为我确实没有研究过。下面就是百度了一篇文章后简单回答这个问题。sessionid是一个会话的key,浏览器第一次访问服务器会在服务器生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionid。session在访问tomcat服务器HttpServletRequest的getSession(tr...
java中http请求中 sessionId生成方式
weixin_43726822的博客
03-11 3192
以前一直不知道sessionId 是在什么地方生成的。一脸蒙圈。以及生成规则。 这个是在容器里生成的 今天扒了扒源码。 看的是springBoot 中 内嵌的tomcat 生成sessionId 的方式 在 这个 类 中: org.apache.catalina.util.StandardSessionIdGenerator ` ``java public class StandardSessionIdGenerator extends SessionIdGeneratorBase { publ
java中http请求中sessionID生成方式
qq_16815191的博客
06-15 4352
请注意 Session 的具体实现类是 StandardSession,StandardSession 同时实现了javax.servlet.http.HttpSession和org.apache.catalina.Session接口,并且对程序员暴露的是 StandardSessionFacade 外观类,保证了 StandardSession 的安全,避免了程序员调用其内部方法进行不当操作。// 它是HttpSession的具体实现类,而HttpSession是Servlet规范中定义的接口。
php中session_id()函数详细介绍,会话id生成过程及session id长度
12-18
$sessionId = session_id(); echo '当前会话ID为: ' . $sessionId; // 存储和读取会话数据 $_SESSION['username'] = 'John Doe'; echo '用户名: ' . $_SESSION['username']; ?> ``` 在这个例子中,首先我们通过 `...
URL中允许携带sessionid带来的安全隐患分析
10-28
session机制中,服务器会为每个用户生成一个唯一的标识符,即sessionid,这个标识符会存储在用户的浏览器中。当用户再次访问服务器时,浏览器会带着这个sessionid服务器通过它识别用户的唯一身份。如果浏览器禁用...
ASP.NET WebService中使用ASP.NET_SessionId的问题说明
10-28
ASP.NET_SessionId是一个由ASP.NET生成的唯一标识符,用于跟踪用户的会话状态。在用户首次访问网站或Web服务时,服务器会为该用户分配一个ASP.NET_SessionId,并通过Set-Cookie HTTP响应头将其发送给客户端。这个...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
sessionid机制
myth_g的博客
03-08 2933
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionid。session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+j
java session id 生成_session对象在web开发中的创建以及sessionId生成并返回客户端的运行机制...
weixin_36481965的博客
02-16 840
session对象当客户端首次访问时,创建一个新的session对象。并同时生成一个sessionId,并在此次响应中将sessionId 以响应报文的方式些回客户端浏览器内存或以重写url方式送回客户端,来保持整个会话,只要sever端的这个session对象没有销毁,以后再调用 request.getSession()时就直接根据客户端的sessionId来检索 server端生成的sessi...
HTTP Session工作原理的简单介绍
caoguanling2011的专栏
11-13 958
HTTP协议(http://www.w3.org/Protocols/)是“一次性单向”协议。  服务端不能主动连接客户端,只能被动等待并答复客户端请求。客户端连接服务端,发出一个HTTP Request,服务端处理请求,并且返回一个HTTP Response给客户端,本次HTTP Request-Response Cycle结束。  我们看到,HTTP协议本身并不能支持服务端保存客户端的状态
Session ID不同 我使用的是微信小程序如何操作
最新发布
02-27
<think>好的,用户问的是关于微信小程序中Session ID不同的情况,以及如何操作。首先,我需要理解Session ID的作用。Session ID通常用于跟踪用户的会话,确保服务器能识别每个用户的状态,比如登录状态、购物车内容等。 接下来,用户提到的是微信小程序中的情况。微信小程序的运行环境比较特殊,前端是JavaScript,后端可以是任何服务器语言,比如Node.js、Java、PHP等。所以,Session ID不同的可能原因需要从微信小程序的机制来分析。 首先,微信小程序每次启动时,可能会生成一个新的会话。如果用户没有正确维护Session ID,可能导致每次请求都生成新的Session,从而出现Session ID不同的情况。比如,后端服务器在用户登录后生成Session,并将Session ID返回给小程序,小程序需要存储这个Session ID并在后续请求中携带,比如放在请求头或Cookie中。如果小程序没有正确存储或发送这个Session ID,服务器每次都会创建新的Session,导致ID不同。 然后,考虑到微信小程序的网络请求机制。小程序使用wx.request发请求,默认情况下可能不会自动处理Cookie。如果服务器依赖Cookie来维护Session,而小程序没有启用withCredentials选项(默认是false),那么Cookie不会被包含在请求中,导致服务器无法识别Session,从而生成新的Session ID。因此,用户可能需要在小程序的wx.request中设置withCredentials为true,并确保服务器配置了CORS,允许凭证携带。 另外,还有一种情况是服务器端的Session配置问题。比如,Session的过期时间设置过短,或者在负载均衡环境下,不同服务器实例之间没有共享Session存储,导致用户请求被分配到不同服务器时无法找到原有的Session,从而生成新的ID。这时候需要检查服务器配置,确保Session持久化或使用共享存储如Redis。 关于操作步骤,用户可能需要检查以下几点: 1. 在小程序的wx.request调用中,设置header包含Cookie信息,或者确保withCredentials为true。 2. 后端服务器正确设置响应头,如Access-Control-Allow-Origin和Access-Control-Allow-Credentials,以允许跨域携带凭证。 3. 确保每次请求都携带了正确的Session ID,无论是通过Cookie还是自定义header。 4. 检查服务器端的Session管理,确认没有因为超时或配置问题导致Session被重置。 可能还需要举例说明代码,比如在小程序中如何存储和发送Session ID。例如,登录成功后,服务器返回的响应头中可能有Set-Cookie字段,小程序需要保存这个Cookie,并在后续请求中通过header携带。或者,服务器可能返回一个自定义的token,小程序将其存储在本地Storage中,每次请求放在header里。 还需要提醒用户注意安全,比如使用HTTPS来传输Session ID,避免被截获。另外,微信小程序本地存储有大小限制,不能存储过多数据,但Session ID通常很短,应该没问题。 总结可能的问题点,并给出逐步的解决方案,帮助用户排查Session ID不同的原因,并提供对应的操作步骤,应该能解决用户的问题。</think>在微信小程序中,**Session ID不同**通常是由于会话管理机制未正确处理导致的。以下是可能的原因和解决方法: --- ### 一、什么是Session ID? Session ID是服务器为每个用户会话生成的唯一标识符,用于识别用户身份、维护登录状态或跟踪用户操作(如购物车数据)。 --- ### 二、Session ID不同的常见原因 #### 1. **未正确传递Session ID** - **现象**:每次请求都生成新Session。 - **原因**:小程序未在后续请求中携带服务器返回的Session ID(如未保存Cookie或自定义Token)。 - **解决方法**: 1. 登录或首次请求时,从服务器响应头中获取`Set-Cookie`字段。 2. 将Cookie存储到小程序的本地缓存(`wx.setStorageSync`)。 3. 后续请求时,通过`header`携带Cookie(见下方代码示例)。 #### 2. **跨域问题未启用凭证** - **现象**:服务器无法读取Cookie。 - **原因**:微信小程序的`wx.request`默认不发送Cookie,需显式设置`withCredentials: true`。 - **解决方法**: ```javascript wx.request({ url: 'https://your-api.com/login', method: 'POST', data: { username: 'test', password: '123' }, // 关键配置 withCredentials: true, // 允许携带Cookie header: { 'Content-Type': 'application/json', // 若使用自定义Token,可在此添加 'Authorization': 'Bearer ' + wx.getStorageSync('token') }, success(res) { console.log('登录成功,服务器返回的Cookie会自动保存'); } }) ``` #### 3. **服务器配置问题** - **现象**:Session频繁重置。 - **原因**: - 服务器未配置Session持久化(如内存Session重启后丢失)。 - 负载均衡环境下未共享Session(如多台服务器未使用Redis共享)。 - **解决方法**: 1. 修改服务器配置,使用数据库或Redis存储Session。 2. 确保响应头包含允许跨域的配置(以Node.js为例): ```javascript res.setHeader('Access-Control-Allow-Origin', 'https://your-wechat-app.com'); res.setHeader('Access-Control-Allow-Credentials', 'true'); // 允许携带凭证 ``` --- ### 三、操作步骤示例 #### 1. 存储Session ID(以Cookie为例) ```javascript // 登录成功后,存储Cookie wx.request({ url: 'https://your-api.com/login', success(res) { const cookie = res.header['Set-Cookie']; // 获取服务器返回的Cookie wx.setStorageSync('session_cookie', cookie); // 存储到本地 } }); // 后续请求携带Cookie wx.request({ url: 'https://your-api.com/userinfo', header: { 'Cookie': wx.getStorageSync('session_cookie') // 携带存储的Cookie } }); ``` #### 2. 使用Token替代Session(推荐) ```javascript // 登录成功后获取Token wx.request({ url: 'https://your-api.com/login', success(res) { const token = res.data.token; wx.setStorageSync('auth_token', token); // 存储Token } }); // 后续请求携带Token wx.request({ url: 'https://your-api.com/userinfo', header: { 'Authorization': 'Bearer ' + wx.getStorageSync('auth_token') // 通过Header传递 } }); ``` --- ### 四、注意事项 1. **安全性**:始终使用HTTPS协议传输Session ID或Token。 2. **有效期**:服务器应设置合理的Session过期时间(如30分钟无操作后失效)。 3. **本地存储限制**:微信小程序本地缓存上限为10MB,但存储Session ID或Token足够使用。 通过以上方法,可有效解决微信小程序中Session ID不一致的问题。如果问题仍未解决,建议检查服务器日志,确认Session生成和验证逻辑是否正常。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值