Tomcat之Session和Cookie大揭密（二）

二、Tomcat中的Servlet和 Session

    由于Cookie数存在保存在客户端，这样对于一些敏感数据会带来一些风险。而且Cookie一般只能保存字符串等简单数据。并且大小限制在4KB。如果要保存比较复杂的数据，Cookie可能显得有些不合适。基于这些原因，我们自然会想到在服务端采用这种类似Cookie的机制来存储数据。这就是我们这节要讲的会话(Session)。而在一个客户端和服务端的会话中所有的页面可以共享为这个会话所建立的Session。

    那么什么是会话呢？有很多人认为会话就是在一台机器上客户端浏览器访问某个域名所指向的服务端程序，就建立了一个客户端到服务端的会话。然后关闭客户端浏览器，会话就结束。其实这并不准确。

    首先让我们先来看看Session的原理。Session和Cookie类似。所不同的是它是建立在服务端的对象。每一个Session对象一个会话。也许很多读者看到这会有一个疑问。Session是如何同客户端联系在一起的呢？很多人在使用Session时并没有感觉到这一点。其实这一切都是Web服务器，如Tomcat一手包办的。那么Web服务器又是如何识别通过HTTP协议进行连接的客户端的呢？这就要用到第一节中所讲的Cookie。在一般情况下，Session使用了临时Cookie来识别某一个Session是否属于某一个会话。在本文中以Tomcat为例来说明Session是如何工作的。

    让我们先假设某一个客户端第一次访问一个Servlet，在这个Servlet中使用了getSession来得到一个Session对象，也就是建立了一个会话，这个Servlet 的代码如下：

import java.io.* ; import javax.servlet.ServletException; import javax.servlet.http.* ; public class First extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html" ); HttpSession session = request.getSession(); session.setAttribute("key", "mySessionValue" ); PrintWriter out = response.getWriter(); out.println("The session has been generated!" ); out .flush(); out .close(); } }

对于服务端的First来说，getSession方法主要做了两件事：

    1. 从客户端的HTTP请求头的Cookie字段中获得一个寻找一个JSESSIONID的key，这个key的值是一个唯一字符串，类似于D5A5C79F3C8E8653BC8B4F0860BFDBCD 。

   
2. 如果Cookie中包含这个JSESSIONID，将key的值取出，在Tomcat的Session Map（用于保存Tomcat自启动以来的所有创建的Session）中查找，如果找到，将这个Session取出，如果未找到，创建一个HttpSession对象，并保存在Session Map中，以便下一次使用这个Key来获得这个Session。

 

在服务器向客户端发送响应信息时，如果是新创建的HttpSession对象，在响应HTTP

头中加了一个Set-Cookie字段，并将JSESSIONID和相应的值反回给客户端。如下面的HTTP响应头：

 

HTTP/1.1 200 OK

...

Set-Cookie: JSESSIONID=D5A5C79F3C8E8653BC8B4F0860BFDBCD

...

    对于客户端浏览器来说，并不认识哪个Cookie是用于Session的，它只是将相应的临时Cookie和永久Cookie原封不动地放到请求HTTP头的Cookie字段中，发送给服务器。如果在IE中首次访问服务端的First，这时在当前IE窗口并没有临时Cookie，因此，在请求HTTP头中就没有Cookie字段，所以First在调用getSession方法时就未找到JSESSIONID，因此，就会新建一个HttpSession对象。并在Set-Cookie中将这个JSESSIONID返回。接下来我们使用另外一个Servlet：Second来获得在First中所设置的Session数据。Second的代码如下：

import java.io.* ; import javax.servlet.ServletException; import javax.servlet.http.* ; public class Second extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html" ); HttpSession session = request.getSession(); PrintWriter out = response.getWriter(); out.println(session.getAttribute("key" )); out .flush(); out .close(); } }

     如果在同一个窗口来调用Second。这时客户端已经有了一个临时Cookie，就是JSESSIONID，因此，会将这个Cookie放到HTTP头的Cookie字段中发送给服务端。服务端在收到这个HTTP请求时就可以从Cookie中得到JSESSIONID的值，并从Session Map中找到这个Session对象，也就是getSession方法的返回值。因此，从技术层面上来说，所有拥有同一个Session ID的页面都应该属于同一个会话。

    如果我们在一个新的IE窗口调用Second，并不会得到mySessionValue。因为这时Second和First拥有了不同的Session ID，因此，它们并不属于同一个会话。讲到这，也许很多读者眼前一亮。既然拥有同一个Session ID，就可以共享Session对象，那么我们可不可以使用永久Cookie将这个Session ID保存在Cookie文件中，这样就算在新的IE窗口，也可以共享Session对象了。答案是肯定的。下面是新的First代码：

import java.io.* ; import javax.servlet.ServletException; import javax.servlet.http.* ; public class First extends HttpServlet { public void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { response.setContentType("text/html" ); HttpSession session = request.getSession(); session.setMaxInactiveInterval(3600 ); Cookie cookie = new Cookie("JSESSIONID" , session.getId()); cookie.setMaxAge(3600 ); response.addCookie(cookie); session.setAttribute("key", "mySessionValue" ); PrintWriter out = response.getWriter(); out.println("The session has been generated!" ); out .flush(); out .close(); } }

    在上面的代码中使用了Cookie对象将JSESSIONID写入了Cookie文件，并使用setMaxAge方法将Cookie超时时间设为3600秒（1小时）。这样只要访问过First，从访问时间算起，在1小时之内，在本机的任何IE窗口调用Second都会得到"mySessionValue"字符串。