關(guān)于JSESSIONID

好久沒寫博客了,一直沒什么好寫的奥洼,最近碰到JSESSIONID這個(gè)問題巷疼,網(wǎng)上的說法有點(diǎn)模糊,特別是什么時(shí)候會(huì)出現(xiàn)URL重寫這個(gè)問題灵奖,有些說客戶端禁用Cookie嚼沿,有些說第一次訪問,這里總結(jié)一下

JSESSIONID是什么

老實(shí)說一開始看到這個(gè)有點(diǎn)懵瓷患,寫Java這么久沒看過這東西骡尽。

首先,JSESSIONID是一個(gè)Cookie擅编,Servlet容器(tomcat攀细,jetty)用來記錄用戶session。

什么時(shí)候種下JSESSIONID

創(chuàng)建會(huì)話時(shí)爱态,即調(diào)用request.getSession()的時(shí)候谭贪,關(guān)于getSession就不說了。補(bǔ)充幾點(diǎn)是锦担,訪問html是不會(huì)創(chuàng)建session的故河,JSP頁面默認(rèn)是會(huì)創(chuàng)建session的,可以在JSP頁面里面關(guān)掉自動(dòng)創(chuàng)建session

URL重寫

服務(wù)端在內(nèi)存里創(chuàng)建session吆豹,需要種Cookie鱼的,除了在request header里面設(shè)置Set-Cookie以外理盆,tomcat等容器有一個(gè)URL重寫機(jī)制。這個(gè)機(jī)制是客戶端Cookie不可用時(shí)的一個(gè)兜底策略凑阶,通過在URL后面加上;jsessionid=xxx來傳遞session id猿规,這樣即使Cookie不可用時(shí),也可以保證session的可用性宙橱,但是session暴露在URL里姨俩,本身是不安全的,到這里基本網(wǎng)上說法都是一致的

但是最關(guān)鍵的問題师郑,tomcat怎么知道客戶端Cookie不可用环葵。我在idea導(dǎo)入tomcat的源碼調(diào)試跟蹤,不同版本有些出入宝冕,大致應(yīng)該還是一樣的

tomcat有一個(gè)org.apache.catalina.connector.Response是Response的落地類张遭,有兩個(gè)方法會(huì)進(jìn)行URL重寫,分別是encodeRedirectURLencodeURL地梨,encodeRedirectURL是重定向時(shí)會(huì)被調(diào)用菊卷,encodeURL貌似是手動(dòng)調(diào)用,所以默認(rèn)情況宝剖,重定向時(shí)才會(huì)出現(xiàn)URL重寫洁闰。兩個(gè)方法代碼類似,下面只關(guān)注encodeRedirectURL

/**
     * Encode the session identifier associated with this response
     * into the specified redirect URL, if necessary.
     *
     * @param url URL to be encoded
     * @return <code>true</code> if the URL was encoded
     */
    @Override
    public String encodeRedirectURL(String url) {

        if (isEncodeable(toAbsolute(url))) {
            return (toEncoded(url, request.getSessionInternal().getIdInternal()));
        } else {
            return (url);
        }

    }

方法注釋寫得很清楚了万细,如果有必要的話扑眉,把session id塞到重定向的URL里面。再看一下isEncodeable方法赖钞,關(guān)鍵地方我加了中文注釋

/**
     * Return <code>true</code> if the specified URL should be encoded with
     * a session identifier.  This will be true if all of the following
     * conditions are met:
     * <ul>
     * <li>The request we are responding to asked for a valid session
     * <li>The requested session ID was not received via a cookie
     * <li>The specified URL points back to somewhere within the web
     *     application that is responding to this request
     * </ul>
     *
     * @param location Absolute URL to be validated
     * @return <code>true</code> if the URL should be encoded
     */
    protected boolean isEncodeable(final String location) {

        if (location == null) {
            return false;
        }

        // Is this an intra-document reference?
        if (location.startsWith("#")) {
            return false;
        }

        // Are we in a valid session that is not using cookies?
        final Request hreq = request;
        final Session session = hreq.getSessionInternal(false);
        if (session == null) {
            return false;
        }
        //這里其實(shí)就是網(wǎng)上說的客戶端禁用Cookie
        if (hreq.isRequestedSessionIdFromCookie()) {
            return false;
        }

        // Is URL encoding permitted
        // servlet3.0后可以在項(xiàng)目web.xml里關(guān)掉URL重寫襟雷,對(duì)應(yīng)tomat7之后
        if (!hreq.getServletContext().getEffectiveSessionTrackingModes().
                contains(SessionTrackingMode.URL)) {
            return false;
        }

        if (SecurityUtil.isPackageProtectionEnabled()) {
            return (
                AccessController.doPrivileged(new PrivilegedAction<Boolean>() {

                @Override
                public Boolean run(){
                    return Boolean.valueOf(doIsEncodeable(hreq, session, location));
                }
            })).booleanValue();
        } else {
            //這個(gè)方法會(huì)重寫URL
            return doIsEncodeable(hreq, session, location);
        }
    }

其中調(diào)用Request對(duì)象的isRequestedSessionIdFromCookie判斷客戶端Cookie是否可用,里面邏輯也很簡(jiǎn)單仁烹,就是讀取request里面有沒有傳JSESSIONID這個(gè)Cookie耸弄。所以網(wǎng)上有些人說第一次訪問,其實(shí)只要客戶端沒有傳JSESSIONID卓缰,tomcat都假定Cookie不可用

參考資料:
什么是JSESSIONID计呈,這個(gè)說得比較清楚
關(guān)掉URL重寫

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請(qǐng)聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個(gè)濱河市征唬,隨后出現(xiàn)的幾起案子捌显,更是在濱河造成了極大的恐慌,老刑警劉巖总寒,帶你破解...
    沈念sama閱讀 216,372評(píng)論 6 498
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件扶歪,死亡現(xiàn)場(chǎng)離奇詭異,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)善镰,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,368評(píng)論 3 392
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門妹萨,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人炫欺,你說我怎么就攤上這事乎完。” “怎么了品洛?”我有些...
    開封第一講書人閱讀 162,415評(píng)論 0 353
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵树姨,是天一觀的道長(zhǎng)。 經(jīng)常有香客問我桥状,道長(zhǎng)帽揪,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,157評(píng)論 1 292
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任辅斟,我火速辦了婚禮转晰,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘砾肺。我一直安慰自己挽霉,他們只是感情好防嗡,可當(dāng)我...
    茶點(diǎn)故事閱讀 67,171評(píng)論 6 388
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布变汪。 她就那樣靜靜地躺著,像睡著了一般蚁趁。 火紅的嫁衣襯著肌膚如雪裙盾。 梳的紋絲不亂的頭發(fā)上,一...
    開封第一講書人閱讀 51,125評(píng)論 1 297
  • 城市分裂傳說
    那天他嫡,我揣著相機(jī)與錄音番官,去河邊找鬼。 笑死钢属,一個(gè)胖子當(dāng)著我的面吹牛徘熔,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播淆党,決...
    沈念sama閱讀 40,028評(píng)論 3 417
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼酷师,長(zhǎng)吁一口氣:“原來是場(chǎng)噩夢(mèng)啊……” “哼!你這毒婦竟也來了染乌?” 一聲冷哼從身側(cè)響起山孔,我...
    開封第一講書人閱讀 38,887評(píng)論 0 274
  • 萬榮殺人案實(shí)錄
    序言:老撾萬榮一對(duì)情侶失蹤,失蹤者是張志新(化名)和其女友劉穎荷憋,沒想到半個(gè)月后台颠,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體,經(jīng)...
    沈念sama閱讀 45,310評(píng)論 1 310
  • ?護(hù)林員之死
    正文 獨(dú)居荒郊野嶺守林人離奇死亡勒庄,尸身上長(zhǎng)有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點(diǎn)故事閱讀 37,533評(píng)論 2 332
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年串前,在試婚紗的時(shí)候發(fā)現(xiàn)自己被綠了瘫里。 大學(xué)時(shí)的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點(diǎn)故事閱讀 39,690評(píng)論 1 348
  • 活死人
    序言:一個(gè)原本活蹦亂跳的男人離奇死亡酪呻,死狀恐怖减宣,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情玩荠,我是刑警寧澤漆腌,帶...
    沈念sama閱讀 35,411評(píng)論 5 343
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站阶冈,受9級(jí)特大地震影響闷尿,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜女坑,卻給世界環(huán)境...
    茶點(diǎn)故事閱讀 41,004評(píng)論 3 325
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一填具、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧匆骗,春花似錦劳景、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,659評(píng)論 0 22
  • 一樁弒父案盟广,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至瓮钥,卻和暖如春筋量,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背碉熄。 一陣腳步聲響...
    開封第一講書人閱讀 32,812評(píng)論 1 268
  • 情欲美人皮
    我被黑心中介騙來泰國(guó)打工桨武, 沒想到剛下飛機(jī)就差點(diǎn)兒被人妖公主榨干…… 1. 我叫王不留,地道東北人锈津。 一個(gè)月前我還...
    沈念sama閱讀 47,693評(píng)論 2 368
  • 代替公主和親
    正文 我出身青樓呀酸,卻偏偏與公主長(zhǎng)得像,于是被迫代替她去往敵國(guó)和親琼梆。 傳聞我的和親對(duì)象是個(gè)殘疾皇子性誉,可洞房花燭夜當(dāng)晚...
    茶點(diǎn)故事閱讀 44,577評(píng)論 2 353

推薦閱讀更多精彩內(nèi)容