jsessionid的介绍
在服务器端,我们经常用的一个操作是:session.setAttribute("userInfo",userInfo)。这样做到目的是:保存一些服务器与浏览器之间交互所需要的信息。一个服务器如何能正确的辨别出与它进行交互的成千上万的浏览器呢?这就是本文想要解释的现象。
session的实现方式
我们知道,http是无状态的会话协议,也就是说无法保存用户的信息。那如果有一些信息需要在用户的浏览活动中一直保持,该怎么做呢?我们可以把这些信息在每次请求的时候作为参数传递给服务器,但这样做既麻烦又耗费资源,所以人们设计出了session。session是web开发中不可或缺的一个特性。它是对于一个特定的用户请求,在web服务器上保存的一个全局变量。有了它我们就可以把用户的一些信息保存在服务器上,而不用在服务器和客户端之间来回传递。知道了session的作用,那session是怎么实现的呢?服务器上为每个用户都保存了一个session,那当用户请求过来的时候是怎么知道某一个用户应该对应哪个session呢?这时jsessionid就派上用场了。每一个session都有一个id来作为标识,这个id会传到客户端,每次客户端请求都会把这个id传到服务器,服务器根据id来匹配这次请求应该使用哪个session。jsessionid就是客户端用来保存sessionid的变量,主要是针对j2ee实现的web容器,没有研究过其他语言是用什么变量来保存的。一般对于web应用来说,客户端变量都会保存在cookie中,jsessionid也不例外。不过与一般的cookie变量不同,jsessionid是保存在内存cookie中的,在一般的cookie文件中是看不到它的影子的。内存cookie在打开一个浏览器窗口的时候会创建,在关闭这个浏览器窗口的时候也同时销毁。
jsessionid的作用
在以上的文字中我们了解了session的实现原理,同时也知道了session跟jsessionid紧密不可分割的联系。只有通过jsessionid才能使session机制起作用,而jsessionid又是通过cookie来保存。看到这里,也许你会发现一个问题,如果用户禁用了cookie,那jsessionid不是就不能保存了吗?session不是不起作用了吗?我们真的对此束手无策了吗?当然不是。在用户禁用了cookie时候,我们可以通过url重写来实现jsessionid的传递。类似于下面的url形式:http://www.xxx.com/index.html;jsessionid=xxxxxxxxxx?a=x&b=y
jessionid通过这样的方式来从客户端传递到服务器端,从而来标识session。注意一点,jsessionid跟一般的url参数传递方式是不同的,不是作为参数跟在?后面,而是紧跟在url后面用;来分隔。这样在用户禁用cookie的时候我们也可以传递jsessionid来使用session了,只不过需要每次都把jseesionid作为参数跟在url后面传递。那这样岂不是很麻烦,每次请求一个url都要判断cookie是否可用,如果禁用了cookie,还要从url里解析出jsessionid,然后跟在处理完后转到的url后面,以保持jsessionid的传递。这些问题sun当然已经帮我们想到了,所以提供了2个方法来使事情变得简单:response.encodeURL()和response.encodeRedirectURL()。这2个方法会判断cookie是否可用,如果禁用了会解析出url中的jsessionid,并连接到指定的url后面,如果没有找到jessionid会自动帮我们生成一个。至于为什么要有2个方法?这2个方法有什么不同?答案是这2个方法在判断是否要包含jsessionid的逻辑上会稍有不同。在调用HttpServletResponse.sendRedirect前,应该先调用encodeRedirectURL()方法,否则可能会丢失Sesssion信息。这2个方法的使用方法如:response.sendRedirect(response.encodeURL("/myapp/input.jsp"));。如果cookie没有禁用,我们在浏览器地址栏中看到的地址是这样的:/myapp/input.jsp,如果禁用了cookie,我们会看到:/myapp/input.jsp;jsessionid=73E6B2470C91A433A6698C7681FD44F4。所以,我们在写web应用的时候,为了保险起见,应该在程序里的每一个跳转url上都使用这2个方法,来保证session的可用性。
浏览器与服务器会话中的jsessionid
- 第一次请求服务器:
浏览器的请求头信息
服务器响应头信息Host localhost User-Agent Mozilla/5.0 Firefox/3.6.6 Accept text/html Accept-Language zh-cn Accept-Encoding gzip Accept-Charset GB2312,utf-8Server Apache-Coyote/1.1 Set-Cookie JSESSIONID=64D21B4D69DFB3041B6375C1932BD6CB; Path=/ Content-Type text/html;charset=UTF-8 Content-Language zh-CN Content-Length 242 Date Mon, 28 Jun 2010 02:35:29 GMT - 第二次请求服务器:
浏览器的请求头信息
服务器响应头信息Host localhost User-Agent Mozilla/5.0Firefox/3.6.6 Accept text/html Accept-Language zh-cn Accept-Encoding gzip Accept-Charset GB2312,utf-8 Keep-Alive 115 Connection keep-alive Cookie JSESSIONID=64D21B4D69DFB3041B6375C1932BD6CB
重复第三次,每四次…第N次请求服务器,浏览器和服务器的请求头信息都是与第二次请求服务器是一样的。总之,当第一次与服务器通信时,浏览器会保存服务器返回的 Set-Cookie 这个健的值( JSESSIONID=64D21B4D69DFB3041B6375C1932BD6CB ),只要你不关闭浏览器(彻底关闭,关闭选项卡不算),浏览器会从第二次向服务器发出请求开始,一直带上这个键值对,发给服务器。服务器就会知道,这是同一个人(同一个会话)发起的请求。Server Apache-Coyote/1.1 Content-Type text/html;charset=UTF-8 Content-Language zh-CN Content-Length 242 Date Mon, 28 Jun 2010 02:37:51 GMT
下面说一下,如何获取JSESSIONID,使用的主要工具为看HttpClient,请看下面的代码:
String url = "";
String refer;
HttpClient client = new HttpClient();
client.getParams().setParameter(HttpMethodParams.USER_AGENT, "");
HttpMethod method = new GetMethod(url);
client.executeMethod(method);
url = method.getResponseBodyAsString();
method = new GetMethod(url);
client.executeMethod(method);
String sessionId = "";
Header[] headers = method.getResponseHeaders();
String cookie = null;
for (Header h : headers)
{
if ("set-cookie".equalsIgnoreCase(h.getName()))
{
cookie = h.getValue();
break;
}
}
String s = null;
if (cookie != null)
{
StringTokenizer tz = new StringTokenizer(cookie, ";");
while (tz.hasMoreTokens())
{
s = tz.nextToken().trim();
String[] array = s.split("=");
if (array.length == 2)
{
if ("JSESSIONID".equalsIgnoreCase(array[0]))
{
sessionId = array[1];
break;
}
}
}
}
