Session實現原理

HTTP協議 （ ）是“一次性單向”協議。
服務端不能主動連線客戶端，只能被動等待並答覆客戶端請求。客戶端連線服務端，發出一個HTTP Request，服務端處理請求，並且返回一個HTTP Response給客戶端，本次HTTP Request-Response Cycle結束。
我們看到，HTTP協議本身並不能支援服務端儲存客戶端的狀態資訊。於是，Web Server中引入了session的概念，用來儲存客戶端的狀態資訊。
這裡用一個形象的比喻來解釋session的工作方式。假設Web Server是一個商場的存包處，HTTP Request是一個顧客，第一次來到存包處，管理員把顧客的物品存放在某一個櫃子裡面（這個櫃子就相當於Session），然後把一個號碼牌交給這個顧客，作為取包憑證（這個號碼牌就是Session ID）。顧客（HTTP Request）下一次來的時候，就要把號碼牌（Session ID）交給存包處（Web Server）的管理員。管理員根據號碼牌（Session ID）找到相應的櫃子（Session），根據顧客（HTTP Request）的請求，Web Server可以取出、更換、新增櫃子（Session）中的物品，Web Server也可以讓顧客（HTTP Request）的號碼牌和號碼牌對應的櫃子（Session）失效。顧客（HTTP Request）的忘性很大，管理員在顧客回去的時候（HTTP Response）都要重新提醒顧客記住自己的號碼牌（Session ID）。這樣，顧客（HTTP Request）下次來的時候，就又帶著號碼牌回來了。
我們可以看到，Session ID實際上是在客戶端和服務端之間透過HTTP Request和HTTP Response傳來傳去的。

我們看到，號碼牌（Session ID）必須包含在HTTP Request裡面。關於HTTP Request的具體格式，請參見HTTP協議（ ）。這裡只做一個簡單的介紹。
在Java Web Server（即Servlet/JSP Server）中，Session ID用jsessionid表示（請參見Servlet規範）。
HTTP Request一般由3部分組成：
（1）Request Line
這一行由HTTP Method（如GET或POST）、URL、和HTTP版本號組成。
例如，GET HTTP/1.1
GET HTTP/1.1
POST HTTP/1.1
GET HTTP/1.1

（2）Request Headers
這部分定義了一些重要的頭部資訊，如，瀏覽器的種類，語言，型別。Request Headers中還可以包括Cookie的定義。例如：
User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)
Accept-Language: en-us
Cookie: jsessionid=1001

（3）Message Body
如果HTTP Method是GET，那麼Message Body為空。
如果HTTP Method是POST，說明這個HTTP Request是submit一個HTML Form的結果，
那麼Message Body為HTML Form裡面定義的Input屬性。例如，
user=guest
password=guest
jsessionid=1001
主意，如果把HTML Form元素的Method屬性改為GET。那麼，Message Body為空，所有的Input屬性都會加在URL的後面。你在瀏覽器的URL位址列中會看到這些屬性，類似於

從理論上來說，這3個部分（Request URL，Cookie Header, Message Body）都可以用來存放Session ID。由於Message Body方法必須需要一個包含Session ID的HTML Form，所以這種方法不通用。
一般用來實現Session的方法有兩種：
（1）URL重寫。
Web Server在返回Response的時候，檢查頁面中所有的URL，包括所有的連線，和HTML Form的Action屬性，在這些URL後面加上“;jsessionid=XXX”。
下一次，使用者訪問這個頁面中的URL。jsessionid就會傳回到Web Server。
（2）Cookie。
如果客戶端支援Cookie，Web Server在返回Response的時候，在Response的Header部分，加入一個“set-cookie: jsessionid=XXXX”header屬性，把jsessionid放在Cookie裡傳到客戶端。
客戶端會把Cookie存放在本地檔案裡，下一次訪問Web Server的時候，再把Cookie的資訊放到HTTP Request的“Cookie”header屬性裡面，這樣jsessionid就隨著HTTP Request返回給Web Server。

我們來看Tomcat5的原始碼如何支援jsessionid。
org.apache.coyote.tomcat5.CoyoteResponse類的toEncoded()方法支援URL重寫。
String toEncoded(String url, String sessionId) {
…
StringBuffer sb = new StringBuffer(path);
if( sb.length() > 0 ) { // jsessionid can't be first.
sb.append(";jsessionid=");
sb.append(sessionId);
}
sb.append(anchor);
sb.append(query);
return (sb.toString());
}
我們來看org.apache.coyote.tomcat5.CoyoteRequest的兩個方法configureSessionCookie()
doGetSession()用Cookie支援jsessionid.
/**
* Configures the given JSESSIONID cookie.
*
* @param cookie The JSESSIONID cookie to be configured
*/
protected void configureSessionCookie(Cookie cookie) {
…
}

HttpSession doGetSession(boolean create){
…
// Creating a new session cookie based on that session
if ((session != null) && (getContext() != null)
&& getContext().getCookies()) {
Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME,
session.getId());
configureSessionCookie(cookie);
((HttpServletResponse) response).addCookie(cookie);
}
…
}
Session的典型應用是存放使用者的Login資訊，如使用者名稱，密碼，許可權角色等資訊，應用程式（如Email服務、網上銀行等系統）根據這些資訊進行身份驗證和許可權驗證

[@more@]