在servlet规范中,HttpServletSession的获取时通过调用request.getSession(boolean createnew)方法来实现,其实现机制可以简单的理解为: 存在一个大的hashMap结构,key就是jsessionid,而valule是HttpservletSession对象。 request.getSession(boolean createnew)方法通过jsessionid来获取对应的HttpservletSession,如果不存在并且参数createnew= true,则创建一个新的HttpservletSession对象,并设置jsessionid=session.getId() ,保存到hashMap结构中。以后再传递这个jsessionid.
jsessionid的传递可以是以下途径
1. 放在cookie中
Cookie: JSESSIONID=abcrmF3Gx-5Z-hhkgHfzr
2. 以参数形式放在url
http://10.3.2.35:11280/wmail/welcome.action?jsessionid=abcQNqiT4C01rg-necLBr
3. 用form表单传递,通常是用隐藏域
<input type="hidden" name="jsessionid" value="abcQNqiT4C01rg-necLBr"/>
4. url重写
http://10.3.2.35:11280/jid=abcQNqiT4C01rg-necLBr/wmail/welcome.action
或者
http://10.3.2.35:11280/wmail/welcome.action;jsessionid=abcQNqiT4C01rg-necLBr
如果当前还没有jsessionid则当然就无法获取,通常用户第一次访问或者登录前就是这种情况.
可以通过request.getRequestedSessionId() 方法来获取本次http 请求的jsessonid值。
获取到的HttpServletSession对象
如果HttpServletSession对象是已经存在的,则
1. session.isNew()=false
2. request.getRequestedSessionId() == jsessionid == session.getId()
如果HttpServletSession对象是调用request.getSession(true) (简写的request.getSession()方法等同于request.getSession(true) )时新创建的,则有以下特征:
1. session.isNew()=true
2. 以后传递的jsessionid=session.getId()
注意这里,如果request.getRequestedSessionId() 是空值,情况比较简单,以后传递jsessionid=session.getId()就是了。
但是如果request.getRequestedSessionId() 不是空值,通过这个值没有获取到已经存在的session对象,而是返回了一个新的session对象,这个时候新的session.getId()和原有的request.getRequestedSessionId() 关系如何呢?下面详细阐述这种情况。
比较JsessionID和Cookies
http本身是无session的,无法跟踪客户端的信息,换句话说:http协议不管是谁联接自己。
为了实现session,必须有浏览器支持。浏览器可以用cookie存储session,这是最通用的做法。
但是,如果我自己写一个完全符合http协议的浏览器,但是不配合服务器的session要求,那么服务器就无法产生session。
好在现在的浏览器都支持session要求,即使关闭了cookie,浏览器也会向服务器传递sessionid,这个id是存储在浏览器的内存空间中的,不保存在硬盘cookie中。
session是在服务器端保存。服务器根据url请求中的session_id来查找对应的session。
以一个bbs为例,网站需要根据每个请求url获取用户的信息,如果以cookie方式,用户信息全部是存放在cookie中的,这样可能会不安全;如果以session方式,用户信息可以存放在服务器端,服务器只要从http请求中得到session_id,就可以得到存放在session中的用户信息了,这样安全性比较高。session在服务器中的表现方式依服务器而定,可能是写到临时文件中,也可能直接放在内存中。
服务器从http请求中得到session_id的方式有两种:cookie和url重写。如果客户端启用cookie,那么session_id可以保存在cookie中;如果禁用cookie,就用url重写方式,在url中添加.jsessionid=xxxxx参数部分,服务器会试图从url中得到.jsessionid参数作为session_id.
在http的报文格式里面cookie和session是在同一个包文位置上的
如果ie发现包文里面包含cookie/session的信息的话,他会根据安全级别来决定是否保存相关信息,比如,如果安全机制允许使用cookie那么ie将把cookie的信息保存到临时文件里面,每次在请求服务器文件的时候会把收到的session的信息加入到请求的报文里面,这就是session保存信息的原理。如果安全机制不允许使用cookie的话,虽然ie收到了cookie和session的信息,那么cookie的信息不会被写入临时文件,当ie再次请求服务器文件的时候,也不会把收到的session的信息加入到请求报文里面,服务器就无法知道session的信息了。
分享到:
相关推荐
android获取jsessionId和发送jsessionId
tomcat修改jsessionid在cookie中的名称
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
NULL 博文链接:https://mysun.iteye.com/blog/413836
Set-Cookie: JSESSIONID=8AB51DC4244907FD9EBB063C7FD73CBA; Path=/; HttpOnly 解决此类cookie暴露项目路径问题
* AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED.... * LIABLE FOR ANY DIRECT, ...
避免可能会绕过CVE-2015-5211对RFD攻击的保护,具体取决于通过使用jsessionid路径参数使用的浏览器。
Nginx Tomcat 集群的Session 复制,解决了,集群情况下的session复制问题。
关于2010那洞 我就不说了 2011那个也不说了 (这两成功率 还是顶高的) s2-013 实战 鸡肋 (要不然这工具也不会丢出来了 最好你自己打个环境来测一下 免得你以为工具不能用) 触发条件 1 s2 架构 2 使用了s2的 a标签 ...
色彩基础.作为网页制作工作者参改用不错.资料虽老.但有时要查个东东也很烦.
研究 multipart/form-data 上传协议。内附实例代码,服务端 java,客户端 c#。
当客户端首次请求访问服务器时,服务器先在客户端存放包含该客户的相关信息的Cookie,以后客户端每次请求访问服务器时,都会在HTTP请求数据中包含Cookie,服务器解析HTTP请求中的Cookie,就能由此获得关于客户的相关...
一个基于vitamio的视频播放器,自己的毕设作品。实现本地播放,和网络视频播放。还有本地音乐播放功能
cd CVE-2020-9484$ docker build -t tomcat:groovy .$ docker run -d -p 8080:8080 tomcat:groovy开发$ curl 'http://127.0.0.1:8080/index.jsp' -H 'Cookie: JSESSIONID=../../../../../usr/local/tomcat/groovy'...
服务器端获取Session对象依赖于客户端携带的Cookie中的JSESSIONID数据。如果用户把浏览器的隐私级别调到最高,这时浏览器是不会接受Cookie、这样导致永远在服务器端都拿不到的JSESSIONID信息。这样就导致服务器端的...
与其他经典 Java / Tomcat 应用程序不同,交付和安装的 ENT Esup / uPortal 允许客户端浏览器指定自己的 JSESSIONID。 因此,我们可以在 Esup / uPortal ENT 上永远重复使用相同的 JSESSIONID。 此阀具有强制为门户...
jvm_route $cookie_JSESSIONID; } 2. Tomcat: upstream backend { server 192.168.0.100 srun_id=a; server 192.168.0.101 srun_id=b; server 192.168.0.102 srun_id=c; server 192.168.0.103 srun_id=d; ...
jvm_route $cookie_JSESSIONID; } 2. Tomcat: upstream backend { server 192.168.0.100 srun_id=a; server 192.168.0.101 srun_id=b; server 192.168.0.102 srun_id=c; server 192.168.0.103 srun_id=d; ...
jsessionid=975FCCA6FD6058E92DDE932962A44252?para=1 方法二:在application(ServletContext)里保存一个session管理器HashMap:sessionId---sessionRef,这样可以在所有的servlet/jsp里调用,这需要在url里将session...
jsessionid=C0CED792AEFC1EB0DE774BAAA1838FF7 任务创建时间: 2007-7-31 17:33:20 任务完成时间: 2007-7-31 17:33:38 下载用时: 00:00:05 平均速度: 60.00KB/s 注释: Windows Online Installation, ...