HTTP无状态的特性与Session、Cookie的存在
HTTP有一个特性:无状态的,就是前后两个HTTP事务它们并不知道对方的信息。
而为了维护会话信息或用户信息,一般可用Cookie或Session技术缓存信息。
- Cookie是存储在客户端的
- Session是存储在服务端的
如何生成session id?如何根据session id获取session?如何生成session?
客户端请求服务器时,如果请求的服务涉及Session的访问,比如调用request.getSession()
或request.getSession(true)
(其实此两句代码功能相同),如果请求中包含session id,则从ConcurrentHashMap<String, Session>
中获取session,如果不包含session id,则会生成一个新的不冲突的session id
。
比较详细的流程,可见org.apache.catalina.connector.Request.doGetSession(boolean create)
:
而具体的创建Session的流程,可见org.apache.catalina.session.ManagerBase.createSession(String sessionId)
:
session id如何进行传输
而session id
是如何进行传输的呢?一般是通过Cookie
随Request
和Response
在客户端和服务端间通讯。在Cookie禁用情况下,也可由URL参数的形式进行通讯。有哪几种方式,有个泛型作了列举javax.servlet.SessionTrackingMode
。
Session通过session id
进行识别用户,那么session id
被外人获取从而伪装身份,此为Session却持,需要注意。