tomcat中cookie的設(shè)置與jsp中session的設(shè)置

燮羽 2010-11-06

展開全文

大家都知道，在開發(fā)一個(gè)互聯(lián)網(wǎng)應(yīng)用的時(shí)候，為了達(dá)到一種服務(wù)端和客戶端有狀態(tài)的效果，需要有一個(gè)sessionid 來對客戶端進(jìn)行標(biāo)志。很多時(shí)候，這是通過在客戶端防止session cookie實(shí)現(xiàn)的。但是如果客戶端禁用了cookie呢？這就需要通過urlrewrite或者其他方式來實(shí)現(xiàn)。于是我們可能就在應(yīng)用里面不需要cookie了。既然不需要了當(dāng)然是希望我們的應(yīng)用不對cookie進(jìn)行處理。很遺憾的是，tomcat默認(rèn)的是處理cookie的。每次請求過來的時(shí)候，都會(huì)解析request head里面的cookie信息，試圖從中發(fā)現(xiàn)sessionid的信息。于是我們就需要從應(yīng)用服務(wù)器層面把這個(gè)"無用功"去掉。

tomcat（我讀的是tomcat6的源碼）可以通過設(shè)置來實(shí)現(xiàn)：

在conf/context.xml里面：<Context cookies = "false">。那么就禁用了cookie了。

在源碼級別的實(shí)現(xiàn)則是在CoyoteAdapter里面：

Java代碼 
protected void parseSessionCookiesId(org.apache.coyote.Request req, Request request) {  
    
       // If session tracking via cookies has been disabled for the current  
    
       // context, don't go looking for a session ID in a cookie as a cookie  
    
       // from a parent context with a session ID may be present which would  
    
       // overwrite the valid session ID encoded in the URL  
    
       Context context = (Context) request.getMappingData().context;  
    
       if (context != null && !context.getCookies())  
    
           return;

在這里面做了一個(gè)判斷，如果context禁用了cookie,那么就不做解析。如果使用cookie，那么試著從cookie里面解析

sessionid，并且如果存在的話覆蓋request里面已有的(從url里面解析出來的)或者還沒有的sesssionid.

這個(gè)方法的入口是在CoyoteAdapter的service方法里面，這個(gè)方法沿著tomcat6的component 鏈傳遞處理request 和response,結(jié)構(gòu)圖如下：

service--------->EngineValue

HostValue

ContextValue

WrapperValue

這實(shí)際就是一個(gè)chain of resposibility模式，負(fù)責(zé)對request和response進(jìn)行各自職責(zé)范圍內(nèi)的包裝和處理。

最后的WrapperValue執(zhí)行調(diào)用servlet處理請求的步驟。

好了，上面簡單解釋了cookie的處理，那么下面就是session了。

不管通過什么方式，通過cookie也好，通過urlrewrite也好，session在需要的時(shí)候是肯定要產(chǎn)生的.

但是如果我們不需要呢？比如恰好我們要展現(xiàn)給客戶的首頁就是jsp的，客戶不需要登錄就能瀏覽這個(gè)頁面的內(nèi)容。

那么這個(gè)時(shí)候?qū)τ诳蛻舻恼埱髣?chuàng)建session就是沒有必要的了。

一種常用的不創(chuàng)建session的方法是在jsp頁面頭上加一句：

<%@ page session=”false”>

這樣在請求這個(gè)頁面的時(shí)候就不產(chǎn)生session了。

這個(gè)在tomcat內(nèi)部是怎么實(shí)現(xiàn)的呢？

首先明確一點(diǎn)，jsp在本質(zhì)上是httpservlet,在/tomcat/work目錄下面你會(huì)發(fā)現(xiàn)有跟自己的應(yīng)用相同目錄結(jié)構(gòu)的一些文件，其中的jsp文件都變成了class文件，這實(shí)際是被jspcompiler編譯過的。上面提到了WrapperValue會(huì)最終調(diào)用

servlet處理request。有興趣的同學(xué)可以跟蹤一下，會(huì)發(fā)現(xiàn)到了調(diào)用jsp對應(yīng)的servlet（JspServlet)（這個(gè)是在tomcat/conf/web.xml里面配置的，對于.jsp,對應(yīng)的servlet是jspservlet)時(shí)，最終會(huì)著落在

tomcat下面實(shí)現(xiàn)了PageContext接口的特定于jsp specification的實(shí)現(xiàn)類：PageContextImpl。

在這個(gè)類的initialize里面有這么一句：

Java代碼 
if (request instanceof HttpServletRequest && needsSession)  
    
            this.session = ((HttpServletRequest) request).getSession();   

這句的意思就是，有session獲取session,沒session新建一個(gè)。而通常，這個(gè)地方也是客戶端與tomcat下面的應(yīng)用交互時(shí)產(chǎn)生session的入口。

這句里面的needsSession就是之前提到的jsp頁面上配置的值，默認(rèn)是true.所以如果想在訪問某個(gè)頁面時(shí)不產(chǎn)生session,只需要設(shè)置成false就可以了。

本站是提供個(gè)人知識管理的網(wǎng)絡(luò)存儲空間，所有內(nèi)容均由用戶發(fā)布，不代表本站觀點(diǎn)。請注意甄別內(nèi)容中的聯(lián)系方式、誘導(dǎo)購買等信息，謹(jǐn)防詐騙。如發(fā)現(xiàn)有害或侵權(quán)內(nèi)容，請點(diǎn)擊一鍵舉報(bào)。

轉(zhuǎn)藏 分享

QQ空間 QQ好友新浪微博微信

獻(xiàn)花（0） +1

來自：燮羽 > 《Tomcat》

舉報(bào)/認(rèn)領(lǐng)