性色av一区,麻豆精品视频在线观看,久久久9色精品国产一区二区三区

跨应用Session�׃�n(转蝲)

alex-0927 — Thu, 26 Apr 2007 06:38:00 GMT

跨应用Session�׃�n

摘要�Q�虽然session机制在web应用�E�序中被采用已经很长�?wbr>间了(ji��n)�Q�但是仍然有很多��Z��清楚session机制的本�?wbr>�Q�以至不能正��的应用�q�一技术。本文将详细讨论session的工作机制�ƈ且对在Java web application中应用session机制时常见的问题作出解答�?/wbr>

目录�Q?br />   一、术语session
   二、HTTP协议与状态保�?/font>
   三、理解cookie机制
   四、理解session机制
   五、理解javax.servlet.http.HttpSession
   六、HttpSession常见问题
   七、跨应用�E�序的session�׃�n
   八、�ȝ��

一、术语session
在我的经验里�Q�session�q�个词被滥用的程度大概仅�ơ于transaction�Q�更加有��的是transaction与session在某些语境下的含义是相同的�?/wbr>

session�Q�中文经常翻译�ؓ(f��)�?x��)�?/strong>�Q�其本来的含义是指有始有�l�的一�p�d��动作/消息�Q�比如打�?sh��)话时从�?wbr>��L(f��ng)��(sh��)话拨号到挂断�?sh��)话�q�中间的一�p�d��q�程可以�U�C��Z��个session。有时候我们可以看到这��L(f��ng)��?在一个浏览器�?x��)话期间�Q?.."�Q�这里的�?x��)话一词用的就是其本义�Q�是指从一个浏览器�H�口打开�?wbr>关闭�q�个期间①。最混�ؕ的是"用户�Q�客��L(f��ng)��Q�在一�ơ会(x��)话期�?wbr>"�q�样一句话�Q�它可能指用��L(f��ng)��一�p�d��动作�Q�一般情况下是同某个具体目的相关的一�p�d��动作�Q�比如从��d��到选购商品到结账登�?gu��)��样一个网上购物的�q�程�Q�有时候也被称��Z��个transaction�Q?wbr>�Q�然而有时候也可能仅仅是指一�ơ连接，也有可能是指含义�?wbr>�Q�其中的差别只能靠上下文来推断②�?

然而当session一词与�|�络协议相关联时�Q�它又往往隐含�?wbr>"面向�q�接"�?�?保持状�?�q�样两个含义�Q?面向�q�接"指的是在通信双方在通信之前要先建立一个通信的渠�?wbr>�Q�比如打�?sh��)话�Q�直到对�Ҏ(gu��)��?ji��n)�?sh��)话通信才能开始，与此相对的是写信�Q�在你把信发出去的时候你�q�不能确认对方的地址是否正确�Q�通信渠道不一定能建立�Q�但对发信�h来说�Q�通信已经开始了(ji��n)�?wbr>"保持状�?则是指通信的一方能够把一�p�d��的消息关联�v�?wbr>�Q��得消息之间可以互�怾�赖，比如一个服务员能够认出再次光��(f��)的�?wbr>��֮��q�且记得上次�q�个��֮��q�欠店里一块钱。这一�cȝ��例子�?wbr>"一个TCP session"或�?一个POP3 session"③�?

而到�?ji��n)web服务器蓬勃发展的时代�Q�session在web开发语境下的语义又有了(ji��n)新的扩展�Q�它的含义是指一�cȝ��来在客户端与服务�?wbr>之间保持状态的解决�Ҏ(gu��)��④。有时候session也用来指�q�种解决�Ҏ(gu��)��的存储结构，�?把xxx保存在session�?�?wbr>。由于各�U�用于web开发的语言在一定程度上都提供了(ji��n)对这�U�解��x��案的支持�Q�所以在某种特定语言的语境下�Q�session也被用来�?wbr>代该语言的解��x��案，比如�l�常把Java里提供的javax.servlet.http.HttpSession��U�Cؓ(f��)session⑥�?

鉴于�q�种混�ؕ已不可改变，本文中session一词的�q�用也会(x��)�Ҏ(gu��)��上下文有不同的含义，请大家注意分辨�?br />在本文中�Q��用中�?��览器会(x��)话期�?来表辑֐�义①�Q��?wbr>"session机制"来表辑֐�义④�Q��?session"表达含义⑤，使用具体�?HttpSession"来表辑֐�义⑥

二、HTTP协议与状态保�?/strong>
HTTP协议本��n是无状态的�Q�这与HTTP协议本来的目的是相符�?wbr>�Q�客��L(f��ng)��只需要简单的向服务器��h��下蝲某些文�g�Q�无论是客户端还�?wbr>服务器都没有必要�U�录彼此�q�去的行为，每一�ơ请求之间都是独立的�Q�好比一个顾客和一个自动售货机或者一个普通的�Q�非�?x��)员�?wbr>�Q�大卖场之间的关�p�M��栗��?/wbr>

然而聪明（或者贪�?j��)？�Q�的��Z��很快发现如果能够提供一些按需生成�?wbr>动态信息会(x��)使web变得更加有用�Q�就像给有线�?sh��)视加上��?gu��)��功能一�?wbr>。这�U�需求一斚w��q��HTML逐步��d��?ji��n)表单、脚�?wbr>、DOM�{�客��L(f��ng)��行�ؓ(f��)�Q�另一斚w��在服务器端则出现�?ji��n)CGI规范以响应客��L(f��ng)��的动态请求，作�ؓ(f��)传输载体的HTTP协议也添加了(ji��n)文�g上蝲、cookie�q�些�Ҏ(gu��)��。其中cookie的作用就是�ؓ(f��)�?ji��n)解决HTTP协议无状态的�~�陷所作出的努力。至于后来出现的session机制则是又一�U�在客户端与服务器之间保持状态的解决�Ҏ(gu��)��?

让我们用几个例子来描�q�C��下cookie和session机制之间的区别与联系。笔者曾�l�常�ȝ��一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠�Q�然而一�ơ性消�?杯咖啡的��Z��(x��)微乎其微�Q�这时就需要某�U�方式来�U�录某位��֮�的消�Ҏ(gu��)��量。想象一下其实也�?wbr>外乎下面的几�U�方案：(x��)
1、该店的店员很厉宻I��能记住每位顾客的消费数量�Q�只要顾客一走进咖啡店，店员��q��道该怎么对待�?wbr>。这�U�做法就是协议本�w�支持状态�?br />2、发�l�顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每�ơ消�Ҏ(gu��)��Q�如果顾客出�C��张卡片，则此�ơ消费就�?x��)与以前或以�?wbr>的消费相联系��h��。这�U�做法就是在客户端保持状态�?
3、发�l�顾客一张会(x��)员卡�Q�除�?ji��n)卡号之外什么信息也不纪�?wbr>�Q�每�ơ消�Ҏ(gu��)��Q�如果顾客出�C��卡片�Q�则店员在店里的�U�录本上扑ֈ��q?wbr>个卡号对应的�U�录��d��一些消费信息。这�U�做法就是在服务器端保持�?wbr>态�?/wbr>

�׃��HTTP协议是无状态的�Q�而出于种�U�考虑也不希望使之成�ؓ(f��)有状态的�Q�因此，后面两种�Ҏ(gu��)��成为现实的选择。具体来说cookie机制采用的是在客��L(f��ng)��保持状态的�Ҏ(gu��)��Q�而session机制采用�?wbr>是在服务器端保持状态的�Ҏ(gu��)��。同时我们也看到�Q�由于采用服务器端保持状态的�Ҏ(gu��)��在客��L(f��ng)��也需要保存一个标识，所以session机制可能需要借助于cookie机制来达��C��存标识的目的�Q�但实际上它�q�有其他选择�?/wbr>

三、理解cookie机制
cookie机制的基本原理就如上面的例子一��L(f��ng)��?wbr>�Q�但是还有几个问题需要解冻I��(x��)"�?x��)员�?如何分发�Q?�?x��)员�?wbr>"的内容；以及(qi��ng)客户如何使用"�?x��)员�?�?/wbr>

正统的cookie分发是通过扩展HTTP协议来实现的�Q�服务器通过在HTTP的响应头中加上一行特�D�的指示以提�C�浏览器按照指示生成相应的cookie。然而纯�_�的客户端脚本如JavaScript或者VBScript也可以生成cookie�?/wbr>

而cookie的��用是由浏览器按照一定的原则在后台自动发送给�?wbr>务器的。浏览器��(g��)查所有存储的cookie�Q�如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置�Q�则把该cookie附在��h��资源的HTTP��h��头上发送给服务�?wbr>。意思是麦当劳的�?x��)员卡只能在麦当劳的店里出示�Q�如果某家分店还�?wbr>行了(ji��n)自己的会(x��)员卡�Q�那么进�q�家店的时候除�?ji��n)要出示麦当劳的会(x��)员�?wbr>�Q�还要出�C��家店的会(x��)员卡�?/wbr>

cookie的内容主要包括：(x��)名字�Q��|��q�期旉��Q��\径和域�?br />其中域可以指定某一个域比如.google.com�Q�相当于��d��招牌�Q�比如宝�z�公司，也可以指定一个域下的具体某台机器比如www.google.com或者f(xi��)roogle.google.com�Q�可以用飘柔来做比�?br />路径��是跟在域名后面的URL路径�Q�比�?或�?foo�{�等�Q�可以用某飘柔专柜做比�?br />路径与域合在一起就构成�?ji��n)cookie的作用范围�?
如果不设�|�过期时��_(d��)��则表�C��个cookie的生命期为浏览器�?x��)�?wbr>期间�Q�只要关闭浏览器�H�口�Q�cookie��消�׃��(ji��n)。这�U�生命期为浏览器�?x��)话期的cookie被称��Z��(x��)话cookie。会(x��)话cookie一般不存储在硬盘上而是保存在内存里�Q�当然这�U�行为�ƈ不是规范规定的。如果设�|�了(ji��n)�q�期旉��Q�浏览器��׃��(x��)把cookie保存到硬盘上�Q�关闭后再次打开��览�?wbr>�Q�这些cookie仍然有效直到��过讑֮�的过期时间�?/wbr>

存储在硬盘上的cookie可以在不同的��览器进�E�间�׃�n�Q�比如两个IE�H�口。而对于保存在内存里的cookie�Q�不同的��览器有不同的处理方式。对于IE�Q�在一个打开的窗口上�?wbr>Ctrl-N�Q�或者从文�g菜单�Q�打开的窗口可以与原窗口共�?wbr>�Q�而��用其他方式新开的IE�q�程则不能共享已�l�打开的窗口的内存cookie�Q�对于Mozilla Firefox0.8�Q�所有的�q�程和标�{�N��都可以共享同��L(f��ng)��cookie。一般来说是用javascript的window.open打开的窗口会(x��)与原�H�口�׃�n内存cookie 。浏览器对于�?x��)话cookie的这�U�只认cookie不认人的处理方式�l�常�l�采用session机制的web应用�E�序开发者造成很大的困扰�?/wbr>

下面��是一个goolge讄��cookie的响应头的例�?br />HTTP/1.1 302 Found
Location: http://www.google.com/intl/zh-CN/
Set-Cookie: PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Content-Type: text/html

�q�是使用HTTPLook�q�个HTTP Sniffer软�g来俘��L(f��ng)��HTTP通讯�U�录的一部分

��览器在再次讉K��goolge的资源时自动向外发送cookie

使用Firefox可以很容易的观察现有的cookie的�?br />使用HTTPLook配合F(tu��n)irefox可以很容易的理解cookie的工作原理�?/wbr>

IE也可以设�|�在接受cookie前询�?/font>

�q�是一个询问接受cookie的对话框�?/font>

四、理解session机制
session机制是一�U�服务器端的机制�Q�服务器使用一�U�类��g��?wbr>列表的结构（也可能就是��用散列表�Q�来保存信息�?/wbr>

当程序需要�ؓ(f��)某个客户端的��h��创徏一个session的时�?wbr>�Q�服务器首先��(g��)查这个客��L(f��ng)��的请求里是否已包含了(ji��n)一个session标识 - �U�Cؓ(f��)session id�Q�如果已包含一个session id则说明以前已�l��ؓ(f��)此客��L(f��ng)��创徏�q�session�Q�服务器��按照session id把这个session��(g��)索出来��用（如果��(g��)索不�?wbr>�Q�可能会(x��)新徏一个）(j��)�Q�如果客��L(f��ng)��h��不包含session id�Q�则为此客户端创��Z��个session�q�且生成一个与此session相关联的session id�Q�session id的值应该是一个既不会(x��)重复�Q�又不容易被扑ֈ�规律以仿造的字符�?wbr>�Q�这个session id��被在本�ơ响应中�q�回�l�客��L(f��ng)��保存�?

保存�q�个session id的方式可以采用cookie�Q�这样在交互�q�程中浏览器可以自动的按照规则把�q�个标识发挥�l�服务器。一般这个cookie的名字都是类��g��SEEESIONID�Q�而。比如weblogic对于web应用�E�序生成的cookie�Q�JSESSIONID=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764�Q�它的名字就是JSESSIONID�?

�׃��cookie可以被�h为的��止�Q�必��L��其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一�U�技术叫做URL重写�Q�就是把session id直接附加在URL路径的后面，附加方式也有两种�Q�一�U�是作�ؓ(f��)URL路径的附加信息，表现形式为http://...../xxx;jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
另一�U�是作�ؓ(f��)查询字符串附加在URL后面�Q�表现�Ş式�ؓ(f��)http://...../xxx?jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
�q�两�U�方式对于用��h��说是没有区别的，只是服务器在解析的时候处�?wbr>的方式不同，采用�W�一�U�方式也有利于把session id的信息和正常�E�序参数区分开来�?br />��Z��(ji��n)在整个交互过�E�中始终保持状态，��必��d��每个客户端可能请求的路径后面都包含这个session id�?

另一�U�技术叫做表单隐藏字�D�c(di��n)��就是服务器�?x��)自动修改表�?wbr>�Q�添加一个隐藏字�D�，以便在表单提交时能够把session id传递回服务器。比如下面的表单

在被传递给客户端之前将被改写成

�q�种技术现在已较少应用�Q�笔者接触过的很古老的iPlanet6(SunONE应用服务器的前��n)��׃��用了(ji��n)�q�种技术�?br />实际上这�U�技术可以简单的用对action应用URL重写来代�ѝ�?/wbr>

在谈论session机制的时候，常常听到�q�样一�U�误�?wbr>"只要关闭��览器，session��消�׃��(ji��n)"。其实可以想象一下会(x��)员卡的例子，除非��֮��d��对店家提出销卡，否则店家�l�对不会(x��)��L��?wbr>除顾客的资料。对session来说也是一��L(f��ng)��Q�除非程序通知服务器删除一个session�Q�否则服务器�?x��)一直保�?wbr>�Q�程序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会(x��)�?wbr>动在关闭之前通知服务器它?y��u)��要关闭�Q�因此服务器�Ҏ(gu��)��不会(x��)有机�?x��)知�?wbr>��览器已�l�关闭，之所以会(x��)有这�U�错觉，是大部分session机制都��用会(x��)话cookie来保存session id�Q�而关闭浏览器后这个session id��消�׃��(ji��n)�Q�再�ơ连接服务器时也��无法找到原来的session。如果服务器讄��的cookie被保存到��盘上，或者��用某�U�手�D?wbr>改写��览器发出的HTTP��h��_(d��)��把原来的session id发送给服务器，则再�ơ打开��览器仍然能够找到原来的session�?

恰恰是由于关闭浏览器不会(x��)��D��session被删�?wbr>�Q�迫使服务器为seesion讄��?ji��n)一个失效时�?wbr>�Q�当距离客户端上一�ơ��用session的时间超�q�这个失效时间时�Q�服务器��可以认为客��L(f��ng)��已经停止�?ji��n)活动，才�?x��)把session�?wbr>除以节省存储�I�间�?/wbr>

五、理解javax.servlet.http.HttpSession
HttpSession是Java�q�_��对session机制的实�?wbr>规范�Q�因为它仅仅是个接口�Q�具体到每个web应用服务器的提供�?wbr>�Q�除�?ji��n)对规范支持之外�Q�仍然会(x��)有一些规范里没有规定的细微差�?wbr>。这里我们以BEA的Weblogic Server8.1作�ؓ(f��)例子来演�C��?/wbr>

首先�Q�W(xu��)eblogic Server提供�?ji��n)一�p�d��的参数来控制它的HttpSession的实玎ͼ�包括使用cookie的开关选项�Q��用URL重写的开关�?wbr>��，session持久化的讄��Q�session失效旉��的设�|?wbr>�Q�以�?qi��ng)针对cookie的各�U�设�|�，比如讄��cookie的名�?wbr>、�\径、域�Q�cookie的生存时间等�?/wbr>

一般情况下�Q�session都是存储在内存里�Q�当服务器进�E�被停止或者重启的时候，内存里的session也会(x��)被清�I?wbr>�Q�如果设�|�了(ji��n)session的持久化�Ҏ(gu��)��，服务器就�?x��)把session保存到硬盘上�Q�当服务器进�E�重新启动或�q�些信息��能够被再次�?wbr>用，W(xu��)eblogic Server支持的持久性方式包括文件、数据库、客��L(f��ng)��cookie保存和复制�?/wbr>

复制严格说来不算持久化保存，因�ؓ(f��)session实际上还是保存在内存里，不过同样的信息被复制到各个cluster内的服务器进�E?wbr>中，�q�样即��某个服务器进�E�停止工作也仍然可以从其他进�E�中取得session�?/wbr>

cookie生存旉��的设�|�则�?x��)�?ji��ng)响浏览器生成的cookie是否是一个会(x��)话cookie。默认是使用�?x��)话cookie。有兴趣的可以用它来试验我们在第四节里提到的那个误解�?/wbr>

cookie的�\径对于web应用�E�序来说是一个非帔R��要的选项�Q�W(xu��)eblogic Server对这个选项的默认处理方式��得它与其他服务器有明昄��区别。后面我们会(x��)专题讨论�?/wbr>

关于session的设�|�参考[5] http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869

六、HttpSession常见问题
�Q�在本小节中session的含义�ؓ(f��)⑤和⑥的混合�Q?/font>

1、session在何时被创徏
一个常见的误解是以为session在有客户端访问时��p��创徏�Q�然而事实是直到某server端程序调用HttpServletRequest.getSession(true)�q�样的语句时才被创徏�Q�注意如果JSP没有昄��的��?<%@page session="false"%> 关闭session�Q�则JSP文�g在编译成Servlet时将�?x��)�?wbr>动加上这样一条语句HttpSession session = HttpServletRequest.getSession(true);�q�也是JSP中隐含的session对象的来历�?/wbr>

�׃��session�?x��)消耗内存资源，因此�Q�如果不打算使用session�Q�应该在所有的JSP中关闭它�?/wbr>

2、session何时被删�?br />�l�合前面的讨论，session在下列情况下被删除a.�E�序调用HttpSession.invalidate();或b.距离上一�ơ收到客��L(f��ng)��发送的session id旉��间隔��过�?ji��n)session的超时设�|?或c.服务器进�E�被停止�Q�非持久session�Q?/wbr>

3、如何做到在��览器关闭时删除session
严格的讲�Q�做不到�q�一炏V��可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session。但是对于浏览器�?wbr>溃或者强行杀死进�E�这些非常规手段仍然无能为力�?/wbr>

4、有个HttpSessionListener是怎么回事
你可以创��L(f��ng)��listener�ȝ��控session的创建和销毁事�Ӟ��使得在发生这��L(f��ng)��事�g时你可以做一些相应的工作。注意是session的创建和销毁动作触发listener�Q�而不是相反。类似的与HttpSession有关的listener�q�有HttpSessionBindingListener�Q�HttpSessionActivationListener�?wbr>HttpSessionAttributeListener�?

5、存攑֜�session中的对象必须是可序列化的�?br />不是必需的。要求对象可序列化只是�ؓ(f��)�?ji��n)session能够在集��中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。在Weblogic Server的session中放�|�一个不可序列化的对象在控制�?wbr>上会(x��)收到一个警告。我所用过的某个iPlanet版本如果session中有不可序列化的对象�Q�在session销毁时�?x��)有一个Exception�Q�很奇怪�?

6、如何才能正��的应付客户端禁止cookie的可能�?br />�Ҏ(gu��)��有的URL使用URL重写�Q�包括超链接�Q�form的action�Q�和重定向的URL�Q�具体做法参见[6]
http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770

7、开两个��览器窗口访问应用程序会(x��)使用同一个session�q�是不同的session
参见�W�三��节对cookie的讨论，对session来说是只认id不认人，因此不同的浏览器�Q�不同的�H�口打开方式以及(qi��ng)不同的cookie存储方式都会(x��)对这个问题的�{�案有媄(ji��ng)响�?/wbr>

8、如何防止用��h��开两个��览器窗口操作导致的session混�ؕ
�q�个问题与防止表单多�ơ提交是�c�M��的，可以通过讄��客户端的令牌�?wbr>解决。就是在服务器每�ơ生成一个不同的id�q�回�l�客��L(f��ng)��Q�同时保存在session里，客户端提交表单时必须把这个id�?wbr>�q�回服务器，�E�序首先比较�q�回的id与保存在session里的�?wbr>是否一��_(d��)��如果不一致则说明本次操作已经被提交过�?ji��n)。可以参�?wbr>《J2EE核心(j��)模式》关于表�C�层模式的部分。需要注意的是对于��?wbr>javascript window.open打开的窗口，一般不讄��q�个id�Q�或者��用单独的id�Q�以防主�H�口无法操作�Q�徏议不要再window.open打开的窗口里做修�Ҏ(gu��)��作，�q�样��可以不用设�|��?/wbr>

9、�ؓ(f��)什么在Weblogic Server中改变session的值后要重新调用一�ơsession.setValue
做这个动作主要是��Z��(ji��n)在集��环境中提示Weblogic Server session中的值发生了(ji��n)改变�Q�需要向其他服务器进�E�复制新的session倹{�?/wbr>

10、�ؓ(f��)什么session不见�?br />排除session正常失效的因素之外，服务器本�w�的可能性应该是微乎其微的，虽然�W�者在iPlanet6SP1加若�q�补丁的Solaris版本上倒也遇到�q�；��览器插件的可能性次�?wbr>�Q�笔者也遇到�q?721插�g造成的问题；理论上防火墙或者代理服�?wbr>器在cookie处理上也有可能会(x��)出现问题�?br />出现�q�一问题的大部分原因都是�E�序的错误，最常见的就是在一个应�?wbr>�E�序中去讉K��另外一个应用程序。我们在下一节讨��个问题�?

七、跨应用�E�序的session�׃�n

常常有这��L(f��ng)��情况�Q�一个大��目被分割成若干��项目开�?wbr>�Q��ؓ(f��)�?ji��n)能够互不干扎ͼ�要求每个��项目作��Z��个单独的web应用�E�序开发，可是��C��(ji��n)最后突然发现某几个��项目之间需要共享一些信�?wbr>�Q�或者想使用session来实现SSO(single sign on)�Q�在session中保存login的用户信�?wbr>�Q�最自然的要求是应用�E�序间能够访问彼此的session�?

然而按照Servlet规范�Q�session的作用范围应该仅仅限于当前应用程序下�Q�不同的应用�E�序之间是不能够互相讉K��Ҏ(gu��)��的session的。各个应用服务器从实际效果上都遵守了(ji��n)�q�一规范�Q�但是实现的�l�节却可能各有不同，因此解决跨应用程序session�׃�n的方法也各不相同�?/wbr>

首先来看一下Tomcat是如何实现web应用�E�序之间session的隔��ȝ��Q�从Tomcat讄��的cookie路径来看�Q�它对不同的应用�E�序讄��的cookie路径是不同的�Q�这样不同的应用�E�序所用的session id是不同的�Q�因此即使在同一个浏览器�H�口里访问不同的应用�E�序�Q�发送给服务器的session id也可以是不同的�?br />

�Ҏ(gu��)��q�个�Ҏ(gu��)��，我们可以推测Tomcat中session的内存结构大致如下�?br />

�W�者以前用�q�的iPlanet也采用的是同��L(f��ng)��方式�Q�估计SunONE与iPlanet之间不会(x��)有太大的差别。对于这�U�方式的服务器，解决的思�\很简单，实际实行��h��也不�?wbr>。要么让所有的应用�E�序�׃�n一个session id�Q�要么让应用�E�序能够获得其他应用�E�序的session id�?/wbr>

iPlanet中有一�U�很��单的�Ҏ(gu��)��来实现共享一个session id�Q�那��是把各个应用程序的cookie路径都设�?�Q�实际上应该�?NASApp�Q�对于应用程序来讲它的作用相当于�?wbr>�Q��?br />
/NASApp

需要注意的是，操作�׃�n的session应该遵��@一些编�E�约�?wbr>�Q�比如在session attribute名字的前面加上应用程序的前缀�Q��得setAttribute("name", "neo")变成setAttribute(" app1.name", "neo")�Q�以防止命名�I�间冲突�Q�导致互相覆盖�?

在Tomcat中则没有�q�么方便的选择。在Tomcat版本3�?wbr>�Q�我们还可以有一些手�D�|��׃�nsession。对于版�?以上的Tomcat�Q�目前笔者尚未发现简单的办法。只能借助于第三方的力�?wbr>�Q�比如��用文件、数据库、JMS或者客��L(f��ng)��cookie�Q�URL参数或者隐藏字�D늭�手段�?/wbr>

我们再看一下Weblogic Server是如何处理session的�?br />

从截屏画面上可以看到Weblogic Server�Ҏ(gu��)��有的应用�E�序讄��的cookie的�\径都�?�Q�这是不是意味着在Weblogic Server中默认的��可以共享session�?ji��n)�?wbr>�Q�然而一个小实验卛_��证明即��不同的应用程序��用的是同一个session�Q�各个应用程序仍然只能访问自己所讄��的那些属�?wbr>。这说明Weblogic Server中的session的内存结构可能如�?br />

对于�q�样一�U�结构，在session机制本��n上来解决session�׃�n的问题应该是不可能的�?ji��n)。除�?ji��n)借助于第三方的力�?wbr>�Q�比如��用文件、数据库、JMS或者客��L(f��ng)��cookie�Q�URL参数或者隐藏字�D늭�手段�Q�还有一�U�较为方便的做法�Q�就是把一个应用程序的session攑ֈ�ServletContext中，�q�样另外一个应用程序就可以从ServletContext中取得前一个应用程序的引用。示例代码如下，

应用�E�序A
context.setAttribute("appA", session);

应用�E�序B
contextA = context.getContext("/appA");
HttpSession sessionA = (HttpSession)contextA.getAttribute("appA");

值得注意的是�q�种用法不可�U�L��Q�因为根据ServletContext的JavaDoc�Q�应用服务器可以处于安全的原因对于context.getContext("/appA");�q�回�I��|��以上做法在Weblogic Server 8.1中通过�?/wbr>

那么Weblogic Server��Z��么要把所有的应用�E�序的cookie路径都设�?wbr>/呢？原来是�ؓ(f��)�?ji��n)SSO�Q�凡是共享这个session的应用程序都可以�׃�n认证的信息。一个简单的实验��可以证明这一点，修改首先��d��的那个应用程序的描述�W�weblogic.xml�Q�把cookie路径修改�?appA讉K��另外一个应用程序会(x��)重新�?wbr>求登录，即��是反�q�来�Q�先讉K��cookie路径�?的应用程�?wbr>�Q�再讉K��修改�q��\径的�q�个�Q�虽然不再提�C�登录，但是��d��的用户信�?wbr>也会(x��)丢失。注意做�q�个实验时认证方式应该��用FORM�Q�因为浏览器和web服务器对basic认证方式有其他的处理方式�Q�第二次��h��的认证不是通过session来实现的。具体请参看[7] secion 14.8 Authorization�Q�你可以修改所附的�C�Z��E�序来做�q�些�?wbr>验�?/wbr>

八、�ȝ��
session机制本��n�q�不复杂�Q�然而其实现和配�|�上的灵�z�L��却�?wbr>得具体情况复杂多变。这也要求我们不能把仅仅某一�ơ的�l�验或者某一个浏览器�Q�服务器的经验当作普遍适用的经验，而是始终需要具体情�?wbr>具体分析�?/wbr>

--

房子�{�在��上

alex-0927 2007-04-26 14:38 发表评论

alex-0927 — Mon, 23 Apr 2007 11:50:00 GMT
莫名的夜里，梦见�?ji��n)小时家里养的大白狗�Q�还象小旉��L(f��ng)��q��它，感觉那样的塌实，温暖�?br />
�?j��)里面突然想起�?ji��n)那句话：(x��)认识的�h��多�Q�越惛_��条狗�Q�．�Q?/font>

不管怎么��P��做过努力生活的�h吧！

alex-0927 2007-04-23 19:50 发表评论

alex-0927 — Mon, 23 Apr 2007 11:39:00 GMT

通过一个integer�c�d��属性来表示对象所处的状态：(x��)

CASE:
Invitor:邀(g��)误��(g��)�对象模�?br />Integer Invitor.joinstatus:邀(g��)误��(g��)�所处参加状�?br />当前存在状态声明：(x��)是否被邀(g��)��P��是否注册用户�Q�是否拒�l�，是否审批

设计思�\�Q?br />bit0: 1-invited , 0-not invited
bit1: 1-registed , 0-not registed
bit2: 1-refused , 0-not refused
bit3: 1-approved , 0-not approved

Example:0111(7)=the invitor is invited ,and is registed ,and has been refused without approved.

//判断joinstatus状�?br />public static String theStatusOfApplicant(Invitor iv) throws TrainingAppException {
  String status = "default";
  if (((iv.getJoinStatus() & 0x8) == 0) && ((iv.getJoinStatus() & 0x4) == 0)) {
   status = "default";// 待批�?0x0)
  }
  if (((iv.getJoinStatus() & 0x8) == 0x8) && ((iv.getJoinStatus() & 0x4) == 0)) {
   status = "approved";// 已审�?0x4)
  }
  if (((iv.getJoinStatus() & 0x4) > 0) && ((iv.getJoinStatus() & 0x8) == 0)) {
   status = "refused";// 已拒�l?0x8)
  }
  return status;
}
//更新joinstatus状�?审批和拒�l��ؓ(f��)互斥)
private void updateJoinstatus(MainTrainingInfo mtrInfo, List invitors, Integer opertorType) {
  for (Iterator it = invitors.iterator(); it.hasNext();) {
   I(y��ng)nvitor iv = (Invitor) it.next();
   if (APPLY_OPERTORTYPE_APPROVE == opertorType.intValue()) { // approve
    iv.setJoinStatus((iv.getJoinStatus() | 0x8) & 0x8);
   } else {
    iv.setJoinStatus((iv.getJoinStatus() | 0x4) & 0x4); // refuse
   }
   iv.setMainId(mtrInfo);
   mtrInfo.getInvitor().add(iv);
  }

  persistence.update(mtrInfo);
  if (APPLY_OPERTORTYPE_APPROVE == opertorType.intValue()) { // approve
   log.info(" ### 甌��已获批准,发送邀(g��)请邮�?");
   // Send Mails.
   try {
    instanceMailSendService.approveInvitorSendMail(mtrInfo, invitors, getHostEmail(mtrInfo),
      MainTrainingInfoUtil.getLocale(mtrInfo), true, true);
   } catch (Exception e) {
    log.error(e.toString());
   }

  }
}

alex-0927 2007-04-23 19:39 发表评论

Hibernate Native SQL Support

alex-0927 — Mon, 16 Apr 2007 11:36:00 GMT

1.使用SQLQuery

对原生SQL查询执行的控制是通过SQLQuery接口�q�行的，通过执行Session.createSQLQuery()获取�q�个接口。最��单的情况下，
可以采用以下形式�Q?/font>

List cats = sess.createSQLQuery("select * from cats")
.addEntity(Cat.class)
.list();
�q�个查询指定�?

SQL查询字符�?/font>

查询�q�回的实�?/font>

�q�里�Q�结果集字段名被假设��Z��映射文�g中指明的字段名相同。对于连接了(ji��n)多个表的查询�Q�这��可能造成问题�Q�因为可能在�?br />个表中出现同样名字的字段。下面的�Ҏ(gu��)��可以避免字�D�名重复的问�?

List cats = sess.createSQLQuery("select {cat.*} from cats cat")
.addEntity("cat", Cat.class)
.list();
�q�个查询指定�?

SQL查询语句�Q�它带一个占位符�Q�可以让Hibernate使用字段的别�?

查询�q�回的实体，和它的SQL表的别名.

addEntity()�Ҏ(gu��)��SQL表的别名和实体类联系��h��Q��ƈ且确定查询结果集的�Ş态�?

addJoin()�Ҏ(gu��)��可以被用于蝲入其他的实体和集合的兌��.

List cats = sess.createSQLQuery(
"select {cat.*}, {kitten.*} from cats cat, cats kitten where kitten.mother = cat.id"
)
.addEntity("cat", Cat.class)
.addJoin("kitten", "cat.kittens")
.list();
原生的SQL查询可能�q�回一个简单的标量值或者一个标量和实体的结合体�?

Double max = (Double) sess.createSQLQuery("select max(cat.weight) as maxWeight from cats cat")
.addScalar("maxWeight", Hibernate.DOUBLE);
.uniqueResult();
除此之外�Q�你�q�可以在你的hbm文�g中描�q�结果集映射信息�Q�在查询中��用�?/font>

List cats = sess.createSQLQuery(
"select {cat.*}, {kitten.*} from cats cat, cats kitten where kitten.mother = cat.id"
)
.setResultSetMapping("catAndKitten")
.list();

2.命名SQL查询

可以在映��文档中定义查询的名�?可以象调用一个命名的HQL查询一��L(f��ng)��接调用命名SQL查询.在这�U�情况下,不需要调用addEntity()
�Ҏ(gu��)��.

SELECT person.NAME AS {person.name},
person.AGE AS {person.age},
person.SEX AS {person.sex}
FROM PERSON person
WHERE person.NAME LIKE :namePattern

List people = sess.getNamedQuery("persons")
.setString("namePattern", namePattern)
.setMaxResults(50)
.list();

在sping里面用回调查�?br />    public List getPaysByBizId(final String bizId) {
    return (List)getHibernateTemplate().execute(new HibernateCallback(){
    public Object doInHibernate(Session session)throws HibernateException{
    Query query = session.getNamedQuery("find.pays.by.bizid");
    query.setParameter("bizId",bizId);
    return query.list();
    }
    },true);
    }

alex-0927 2007-04-16 19:36 发表评论

新注册的Blog,test...

alex-0927 — Sat, 14 Apr 2007 02:17:00 GMT

New blog,first post,test...

alex-0927 2007-04-14 10:17 发表评论