多用户登录时HttpSession会话信息覆盖问题的担忧
- 1-JSESSIONID的作用机制
- 2-JSESSIONID的是如何进行编码的?
- 3-代码验证
PS:这里说的是在多个客户端级别上的多用户登录,而非同一个浏览器级别上的多用户登录!!!
1-JSESSIONID的作用机制
JSEESIONID是在浏览器客户端第一次访问服务器端JavaEE程序时,随着HttpSession接口对象被Web容器所创建。通常,我们想要获取这个与某个客户端到服务端之间的连接通道绑定在一起的HttpSession对象,只需要调用HttpServletRequest参数对象的getSession()方法即可。
对于javax.servlet.http包下的HttpSession接口对象,是与某次HTTP请求关联到一起的,随后就成为了某个Client-XXX与部署在Web容器中的Server-XXX之间会化状态维持的唯一标识。也即:
每次客户端Client-XXX与服务器端Server-XXX通信时,服务器端JavaEE程序都会通过JESSIONID字段来判断:当前客户端Client-xxx是否拥有访问某个页面/资源的权限,或者说是根据特定的JESSIONID来唯一标识某个客户端程序,从而保证:在多个用户访问同一个服务器端程序时,存储在服务器端HttpSession对象中的信息不会被覆盖。
Servlet-API文档中对HttpServletRequest参数对象的getSession()方法做了如下说明:
public HttpSession getSession()
Returns the current session associated with this request, or if the request does not have a session, creates one.返回一个与此次请求(request)相关联的会话对象,但是如果该会话对象不存在,就创建一个。
Returns:
the HttpSession associated with this request
See Also:
getSession(boolean)
2-JSESSIONID的是如何进行编码的?
JESSIONID的唯一性是通过“随机数+时间+jvmid”来保证的,因为一个JESSIONID正是由这个几个部分组成的:
session在访问tomcat服务器HttpServletRequest的getSession(true)的时候创建,tomcat的ManagerBase类提供创建sessionid的方法:随机数+时间+jvmid;
【此处:omcat的session的id值生成的机制是一个随机数加时间加上jvm的id值,jvm的id值会根据服务器的硬件信息计算得来,因此不同jvm的id值都是唯一的】JESSIONID通常是存储在服务器的内存中,tomcat的StandardManager类将session存储在内存中,
也可以持久化到file,数据库,memcache,redis等。客户端只保存sessionid到COOKIE中,
而不会保存session,session销毁只能通过invalidate或超时,关掉浏览器并不会关闭session。
3-代码验证
先说一下验证思路:
(1)由于是多端的多用户登录,因此,使用了PC端和Pad端使用不同的账户进行登录,并将登录信息存储到HttpSession对象中,同时设置页面访问权限的控制,即:必须在客户端登陆成功的前提下,才可访问其他页面;
(2)在使用两个客户端交替地第二次访问其他页面时,打印其账户登录信息和JESSIONID的值,只要JESSIONID值不同、账户不同的PC端和Pad端的页面可以正常访问其它页面,那么就验证成功,否则验证失败。
提供前端页面
login.html
<!DOCTYPE html>
<html lang&#61;"en">
<head><meta charset&#61;"UTF-8"><title>用户登录</title>
</head>
<body><form action&#61;"loginservlet" method&#61;"post"><label for&#61;"uname">账户&#xff1a;</label><input type&#61;"text" placeholder&#61;"请输入账户" id&#61;"uname" name&#61;"username"/><label for&#61;"uname">密码&#xff1a;</label><input type&#61;"password" placeholder&#61;"请输入密码" id&#61;"pswd" name&#61;"password"/><input type&#61;"submit" name&#61;"登录" value&#61;"登录"/></form>
</body>
</html>
index.html
<!DOCTYPE html>
<html lang&#61;"en">
<head><meta charset&#61;"UTF-8"><title>主页</title>
</head>
<body><p>welcome to index.html!</p><a href&#61;"loginoutservlet">退出登录</a>
</body>
</html>
后端代码
LoginServlet
package com.xwd.main.servlet;import com.xwd.main.pojo.User;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
&#64;WebServlet(name &#61; "loginservlet",value &#61; {"/loginservlet"}
)
public class LoginServlet extends HttpServlet {&#64;Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {super.doGet(req, resp);}&#64;Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {req.setCharacterEncoding("UTF-8");HttpSession session &#61; req.getSession();String username &#61; req.getParameter("username");String password &#61; req.getParameter("password");if (username!&#61;null&&password!&#61;null){if (("root".equals(username)&&"root".equals(password))||("root1".equals(username)&&"root1".equals(password))){User user&#61;new User(username,password);session.setAttribute("user",user);System.out.println("登录-"&#43;user.toString());req.getRequestDispatcher("WEB-INF/pages/index.html").forward(req,resp);}else {resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}else {resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}
}
IndexServlet
package com.xwd.main.servlet;import com.xwd.main.pojo.User;import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.*;
import java.io.IOException;
&#64;WebServlet(name &#61; "indexservlet",value &#61; {"/indexservlet"}
)
public class IndexServlet extends HttpServlet {&#64;Overrideprotected void doGet(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {this.doPost(req, resp);}&#64;Overrideprotected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {req.setCharacterEncoding("UTF-8");HttpSession session &#61; req.getSession();User user &#61; (User)session.getAttribute("user");if (user!&#61;null){String usernmae &#61; user.getUsernmae();if (null!&#61;usernmae){req.getRequestDispatcher("WEB-INF/pages/index.html").forward(req,resp);COOKIE[] COOKIEs &#61; req.getCOOKIEs();for (COOKIE COOKIE : COOKIEs) {if ("JSESSIONID".equals(COOKIE.getName())) {System.out.println("JSESSIONID&#61;"&#43;COOKIE.getValue());}}}}else {resp.sendRedirect(req.getContextPath()&#43;"/login.html");}}
}
web.xml配置
<web-app xmlns&#61;"http://xmlns.jcp.org/xml/ns/javaee"xmlns:xsi&#61;"http://www.w3.org/2001/XMLSchema-instance"xsi:schemaLocation&#61;"http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"version&#61;"4.0"><welcome-file-list><welcome-file>login.htmlwelcome-file><welcome-file>login.jspwelcome-file>welcome-file-list>web-app>
测试结果
京公网安备 11010802041100号