JSessionId谈cookie与session的区别和联系

时间:2022-09-03 16:56:34

1:在一些投票之类的场合,我们往往因为公平的原则要求每人只能投一票,在一些WEB开发中也有类似的情况,这时候我们通常会使用COOKIE来实现,例如如下的代码:
< % cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
doStuffForNewbie();
//没有访问过 
}

else
{
doStuffForReturnVisitor(); //已经访问过了
}

% >

这是很浅显易懂的道理,检测COOKIE的存在,如果存在说明已经运行过写入COOKIE的代码了,然而运行以上的代码后,无论何时结果都是执行doStuffForReturnVisitor(),通过控制面板-Internet选项-设置-察看文件却始终看不到生成的cookie文件,奇怪,代码明明没有问题,不过既然有cookie,那就显示出来看看。
cookie[]cookies = request.getCookies();
if (cookies.lenght == 0 || cookies == null)
out.println("Has not visited this website");
}

else
{
for (int i = 0; i < cookie.length; i++)
{
out.println("cookie name:" + cookies[i].getName() + "cookie value:" +
cookie[i].getValue());
}
}

运行结果:
cookie name:JSESSIONID cookie value:KWJHUG6JJM65HS2K6 为什么会有cookie呢,大家都知道,http是无状态的协议,客户每次读取web页面时,服务器都打开新的会话,而且服务器也不会自动维护客户的上下文信息,那么要怎么才能实现网上商店中的购物车呢,session就是一种保存上下文信息的机制,它是针对每一个用户的,变量的值保存在服务器端,通过SessionID来区分不同的客户,session是以cookie或URL重写为基础的,默认使用cookie来实现,系统会创造一个名为JSESSIONID的输出cookie,我们叫做session cookie,以区别persistent cookies,也就是我们通常所说的cookie,注意session cookie是存储于浏览器内存中的,并不是写到硬盘上的,这也就是我们刚才看到的JSESSIONID,我们通常情是看不到JSESSIONID的,但是当我们把浏览器的cookie禁止后,web服务器会采用URL重写的方式传递Sessionid,我们就可以在地址栏看到sessionid=KWJHUG6JJM65HS2K6之类的字符串。
明白了原理,我们就可以很容易的分辨出persistent cookies和session cookie的区别了,网上那些关于两者安全性的讨论也就一目了然了,session cookie针对某一次会话而言,会话结束session cookie也就随着消失了,而persistent cookie只是存在于客户端硬盘上的一段文本(通常是加密的),而且可能会遭到cookie欺骗以及针对cookie的跨站脚本攻击,自然不如sessioncookie安全了。
通常session cookie是不能跨窗口使用的,当你新开了一个浏览器窗口进入相同页面时,系统会赋予你一个新的sessionid,这样我们信息共享的目的就达不到了,此时我们可以先把sessionid保存在persistent cookie中,然后在新窗口中读出来,就可以得到上一个窗口SessionID了,这样通过session cookie和persistent cookie的结合我们就实现了跨窗口的session tracking(会话跟踪)。
在一些web开发的书中,往往只是简单的把Session和cookie作为两种并列的http传送信息的方式,session cookies位于服务器端,persistent cookie位于客户端,可是session又是以cookie为基础的,明白的两者之间的联系和区别,我们就不难选择合适的技术来开发web service了。

 

2:

 

  我们可以设计一个Servlet,来看一看session到底是怎么工作的。

        在Servlet中,可以设计这样的代码:

 
  1. //打印出sessionid,用来判断session是否新建  
  2. HttpSession session = request.getSession();  
  3. System.out.println("::SESSION ID IS : " + session.getId());  
  4.           
  5. //打印出请求报头中的内容  
  6. Enumeration enu_req_headers = request.getHeaderNames();  
  7. while(enu_req_headers.hasMoreElements()) {  
  8.     String headerName = (String)enu_req_headers.nextElement();  
  9.     if(!headerName.equals("cookie")) {//非Cookie报头  
  10.         System.out.println(headerName);  
  11.     }  
  12.     else {//Cookie报头  
  13.         String content = request.getHeader("cookie");  
  14.         System.out.println("::cookie : " + content);  
  15.     }  
  16. }  
  17.           
  18. //响应中是否含有Set-Cookie,浏览器的下次提交将会受此影响  
  19. boolean containCookie = response.containsHeader("Set-Cookie");  
  20. System.out.println("::If The Response Contain Header:Set-Cookie? : "+containCookie);  
  21.           
  22. //判断此session是否是新创建的  
  23. System.out.println("::If The Session is NEW : " + request.getSession().isNew());  
  24. System.out.println();  


来查看session的工作情况。

1、session是在何种情况下创建的?

        重启服务器,重新打开浏览器(这里就用IE了)。输入地址,得到输出为:

 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  


注意到,在请求报头中,没有cookie的内容。但在response响应中,有Set-Cookie的要求,这将影响到下一次浏览器的请求。

          刷新一下,得到的输出为:

 
 
  1. ::SESSION ID IS : 42DE852FBD9E23C5CA5E06E883D6F466  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=42DE852FBD9E23C5CA5E06E883D6F466  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

可以看到,浏览器向服务器提交了cookie,使用的是原来的session。由于这里并没有新建session,因此也没有了Set-Cookie的要求。

          关闭浏览器的接受cookie功能,重启浏览器,并刷新一次页面,可以得到以下输出:

  1. ::SESSION ID IS : 5BF9763193E7E6FAF959B4224ED18977  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::If The Response Contain Header:Set-Cookie? : true  
  19. ::If The Session is NEW : true  

可以看到,每次的请求都会创建一个session,并且每次都会有Set-Cookie的要求。

          我在地址栏的地址后面加上 ;jsessionid=EB216E0FE7FAD5CAF9C6A472F0D72195,再次刷新页面,可以看到这样的输出:

  1. ::SESSION ID IS : EB216E0FE7FAD5CAF9C6A472F0D72195  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : false  
  9. ::If The Session is NEW : false  

可以看到,没有新建session,也没有Set-Cookie的要求。这里就是使用URL重写来实现的会话跟踪。但若jsessionid的值在现有session中找不到,servlet容器还是会创建一个新的session。

          现在,将浏览器的接收cookie功能打开,验证最后一个特征。

          先重启一下浏览器,刷新一下,得到的输出如下:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::If The Response Contain Header:Set-Cookie? : true  
  9. ::If The Session is NEW : true  
  10.   
  11. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  12. accept  
  13. accept-language  
  14. accept-encoding  
  15. user-agent  
  16. host  
  17. connection  
  18. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  19. ::If The Response Contain Header:Set-Cookie? : false  
  20. ::If The Session is NEW : false  

现在,重启服务器,但不要关闭浏览器。待服务器重启完毕,再刷新一下页面,可以看到这样的输出:

  1. ::SESSION ID IS : 8DAB8217CC9EB70BD0194D4E76C2A805  
  2. accept  
  3. accept-language  
  4. accept-encoding  
  5. user-agent  
  6. host  
  7. connection  
  8. ::cookie : JSESSIONID=8DAB8217CC9EB70BD0194D4E76C2A805  
  9. ::If The Response Contain Header:Set-Cookie? : false  
  10. ::If The Session is NEW : false  

怎么还是用的先前那个session?这个session在服务器重启时候就应该没有了啊。

根据以上这些输出,可以得知,在tomcat中,创建session的规律:

1、创建session的时候会附带着创建一个cookie,它的MaxAge为-1,也就是说只能存在于内存中。当浏览器端禁用cookie时,这个cookie依然会被创建。

2、当浏览器提交的请求中有jsessionid参数或cookie报头时,容器不再新建session,而只是找到先前的session进行关联。这里又分为两种情况:
    1)使用jsessionid。该值若能与现有的session对应,就不创建新的session,否则,仍然创建新的session。
    2)使用cookie。该值若能与现有的session对应,也不创建新的session;但若没有session与之对应(就如上面的重启服务器之后)容器会根据cookie信息恢复这个与之对应的session,就好像是以前有过一样。

2、session何时被销毁?
         当我们关闭浏览器,再打开它,连接服务器时,服务器端会分配一个新的session,也就是说会启动一个新的会话。那么原来的session是不是被销毁了呢?
         通过实现一个SessionListener可以发现,当浏览器关闭时,原session并没有被销毁(destory方法没有执行),而是等到timeout到期,才销毁这个session。关闭浏览器只是在客户端的内存中清除了与原会话相关的cookie,再次打开浏览器进行连接时,浏览器无法发送cookie信息,所以服务器会认为是一个新的会话。因此,如果有某些与session关联的资源想在关闭浏览器时就进行清理(如临时文件等),那么应该发送特定的请求到服务器端,而不是等到session的自动清理。