【Web】Tomcat中利用Session识别用户的基本原理

时间:2023-03-08 17:49:36

HTTP无状态的特性与Session、Cookie的存在

HTTP有一个特性:无状态的,就是前后两个HTTP事务它们并不知道对方的信息。
而为了维护会话信息或用户信息,一般可用Cookie或Session技术缓存信息。

  • Cookie是存储在客户端的
  • Session是存储在服务端的
    【Web】Tomcat中利用Session识别用户的基本原理

如何生成session id?如何根据session id获取session?如何生成session?

客户端请求服务器时,如果请求的服务涉及Session的访问,比如调用request.getSession()request.getSession(true)(其实此两句代码功能相同),如果请求中包含session id,则从ConcurrentHashMap<String, Session>中获取session,如果不包含session id,则会生成一个新的不冲突的session id
【Web】Tomcat中利用Session识别用户的基本原理

比较详细的流程,可见org.apache.catalina.connector.Request.doGetSession(boolean create)
【Web】Tomcat中利用Session识别用户的基本原理

而具体的创建Session的流程,可见org.apache.catalina.session.ManagerBase.createSession(String sessionId)
【Web】Tomcat中利用Session识别用户的基本原理

session id如何进行传输

session id是如何进行传输的呢?一般是通过CookieRequestResponse在客户端和服务端间通讯。在Cookie禁用情况下,也可由URL参数的形式进行通讯。有哪几种方式,有个泛型作了列举javax.servlet.SessionTrackingMode
Session通过session id进行识别用户,那么session id被外人获取从而伪装身份,此为Session却持,需要注意。

参考的文章

Tomcat中的Session小结