近期因工作需求探索apache + resin的多機負載分布和多個webapp統一認證的實現方案, 期間設計多個webapp統一認證的實現方案時, 發現resin下通過cookie來傳遞jsessionid和通過url重寫將jsessionid放url中傳遞, 會有細微的差異.
注:后來研究發現是resin提供的session id reuse特性,只是此文第一次發布時我還不知道有此特性,慚愧。
在servlet規范中,HttpServletSession的獲取時通過調用request.getSession(boolean createnew)方法來實現,其實現機制可以簡單的理解為: 存在一個大的hashMap結構,key就是jsessionid,而valule是HttpservletSession對象。request.getSession(boolean createnew)方法通過jsessionid來獲取對應的HttpservletSession,如果不存在并且參數createnew=true,則創建一個新的HttpservletSession對象,并設置jsessionid=session.getId() ,保存到hashMap結構中。以后再傳遞這個jsessionid. (詳細的過程比較復雜,各家的實現也不盡相同,但大體的實現原理是如此。)
關注以下幾點:
一). 獲取jsessionid
jsessionid的傳遞可以是以下途徑
1. 放在cookie中
Cookie: JSESSIONID=abcrmF3Gx-5Z-hhkgHfzr
2. 以參數形式放在url
http://10.3.2.35:11280/wmail/welcome.action?jsessionid=abcQNqiT4C01rg-necLBr
3. 用form表單傳遞,通常是用隱藏域
<input type="hidden" name="jsessionid" value="abcQNqiT4C01rg-necLBr"/>
4. url重寫
http://10.3.2.35:11280/jid=abcQNqiT4C01rg-necLBr/wmail/welcome.action
或者
http://10.3.2.35:11280/wmail/welcome.action;jsessionid=abcQNqiT4C01rg-necLBr
如果當前還沒有jsessionid則當然就無法獲取,通常用戶第一次訪問或者登錄前就是這種情況.
可以通過request.getRequestedSessionId() 方法來獲取本次http 請求的jsessonid值。
二)獲取到的HttpServletSession對象
如果HttpServletSession對象是已經存在的,則
1. session.isNew()=false
2. request.getRequestedSessionId() == jsessionid == session.getId()
如果HttpServletSession對象是調用request.getSession(true) (簡寫的request.getSession()方法等同于request.getSession(true) )時新創建的,則有以下特征:
1. session.isNew()=true
2. 以后傳遞的jsessionid=session.getId()
注意這里,如果request.getRequestedSessionId() 是空值,情況比較簡單,以后傳遞jsessionid=session.getId()就是了。
但是如果request.getRequestedSessionId() 不是空值,通過這個值沒有獲取到已經存在的session對象,而是返回了一個新的session對象,這個時候新的session.getId()和原有的request.getRequestedSessionId() 關系如何呢?下面詳細闡述這種情況。
三) request.getRequestedSessionId() 不是空值時,新的session.getId() = ?
1). 測試代碼如下:
HttpServletRequest request = ServletActionContext.getRequest();
String jid1 = request.getRequestedSessionId();
HttpSession session = request.getSession(true);
String jid2 = request.getRequestedSessionId();
logger.info("get HttpSession , isNew()=" + session.isNew()
+ " getId()=" + session.getId()
+ " and jid1=" + jid1
+ " and jid2=" + jid2);
其中jid1和jid2分別是調用request.getSession(true)方法前后的request.getRequestedSessionId()值。
在resin中運行以上代碼,測試request.getRequestedSessionId() 不是空值而對應jsessionid的session不存在的情況。
2). 通過cookie來傳遞jsessionid的情況,測試結果如下:
get HttpSession, isNew()=true getId()=abcqIgQroQ2Ov9lGYcYAr and jid1=abcqIgQroQ2Ov9lGYcYAr and jid2=abcqIgQroQ2Ov9lGYcYAr
get HttpSession, isNew()=true getId()=abcPQ3mpxKz8H-4UMdYAr and jid1=abcPQ3mpxKz8H-4UMdYAr and jid2=abcPQ3mpxKz8H-4UMdYAr
get HttpSession, isNew()=true getId()=abcdeE3iDy_bI536tLYAr and jid1=abcdeE3iDy_bI536tLYAr and jid2=abcdeE3iDy_bI536tLYAr
可以發現以下規律:
1. isNew()=true
2. session.getId() == jid1 == jid2
即新創建的session會使用傳遞過來的jsessionid值,即使這個jsessionid值根本沒有對應的session存在
3) 通過url重寫,將jsessionid放url中傳遞, 測試結果如下:
get HttpSession, isNew()=true getId()=abccw1zEC_RcN43qHMYAr and jid1=abcdUdTfKuLbge8h_LYAr and jid2=abcdUdTfKuLbge8h_LYAr
http://10.3.2.35:11280/jid=abccw1zEC_RcN43qHMYAr/uab/contactList.action
get HttpSession, isNew()=true getId()=abcFK7yOB1irgaYqgNYAr and jid1=abci-HpMPJU3egCB7MYAr and jid2=abci-HpMPJU3egCB7MYAr
http://10.3.2.35:11280/jid=abcFK7yOB1irgaYqgNYAr/uab/contactList.action
(后面的http地址為頁面跳轉完成后顯示在瀏覽器地址框中的頁面url)
可以發現以下規律:
1. isNew()=true
2. jid1 == jid2
request.getRequestedSessionId()值在request.getSession(true)方法調用前后無變化
3. session.getId() != jid1
即新創建的session不使用傳遞過來的jsessionid值,而是采用新值
4. 跳轉完成后的http地址中,使用的是session.getId(), 而不是原來通過url重寫傳遞過來的jsessionid
此時新的jsessionid覆蓋了舊有的jsessionid.
4) 總結
在resin的實現中, 通過cookie來傳遞jsessionid的情況和通過url重寫將jsessionid放url中傳遞, 會有細微的差異.
以上測試的resin版本為3.0.26, 稍后有時間考慮測試其他版本和tomcat.
這個差異直接影響到跨webapp的多個webapp直接相互傳遞jsessionid的方式, 通過cookie傳遞jsessionid可以做到多個webapp之間在頁面跳轉時始終是一個相同的jsessionid,這種各個應用都可以方便的獲取到自己的HttpServletSession對象. 但是如果是通過url重寫,則破壞了jsessonid的一致性, 逼迫各個webapp之間跳轉時必須用其他額外的方法來保證傳遞給對方的jsessionid的準確性,因為此時每個webapp的jsessionid都不一樣了,必須記住其他每個webapp的jsessionid,造成跨webapp的頁面跳轉極其復雜,難于接受.