Sky's blog

我和我追逐的夢

留言簿(8)

隨筆分類

隨筆檔案

閱讀排行榜

評論排行榜

常用鏈接

統計

隨筆 - 187
文章 - 0
評論 - 318
引用 - 0

其他鏈接

友情鏈接

cuix
梁兄
同事的博客,c++高手

resin的session id reuse特性(2)--分析問題

上文中詳細描述了問題的表現情況，由于這個特性嚴重影響到目前為公司設計的一套前臺統一認證方案，因此不得不特別關注。好在resin的源代碼是公開的，直接從resin的官網將resin的源代碼拿下來，看resin到底是如何處理的。

首先找到com.caucho.server.http.HttpRequest，發現是extends AbstractHttpRequest
在AbstractHttpRequest中找到方法

public HttpSession getSession(boolean create)

發現調用

_session = createSession(create, hasOldSession);

    這里有一段注釋解釋了重用jsessonid的行為：
        Must accept old ids because different applications in the same server must share the same cookie
        But, if the session group doesn't match, then create a new session.

在createSession方法中找到

manager.createSession(id, now, this, _isSessionIdFromCookie);

打開com.caucho.server.session.SessionManager的createSession()方法，
發現有注釋： @param oldId the id passed to the request. Reuse if possible.

看代碼：

  String id = oldId;

    if (id == null || id.length() < 4 ||
        ! isInSessionGroup(id) || ! reuseSessionId(fromCookie)) {
      id = createSessionId(request, true);
    }

    SessionImpl session = create(id, now, true);

我們關注! reuseSessionId(fromCookie)這句，打開看函數

   /**
   * True if the server should reuse the current session id if the
   * session doesn't exist.
   */
  public boolean reuseSessionId(boolean fromCookie)
  {
    int reuseSessionId = _reuseSessionId;

    return reuseSessionId == TRUE || fromCookie && reuseSessionId == COOKIE;
  }

注：非常不喜歡resin的這種代碼風格，一般我寧可寫成下面的這種，看代碼時容易理解

return (reuseSessionId == TRUE) || (fromCookie && (reuseSessionId == COOKIE));

再看

/**
   * True if the server should reuse the current session id if the
   * session doesn't exist.
   */
  public void setReuseSessionId(String reuse)
    throws ConfigException
  {
    if (reuse == null)
      _reuseSessionId = COOKIE;
    else if (reuse.equalsIgnoreCase("true") ||
         reuse.equalsIgnoreCase("yes") ||
         reuse.equalsIgnoreCase("cookie"))
      _reuseSessionId = COOKIE;
    else if (reuse.equalsIgnoreCase("false") || reuse.equalsIgnoreCase("no"))
      _reuseSessionId = FALSE;
    else if (reuse.equalsIgnoreCase("all"))
      _reuseSessionId = TRUE;
    else
      throw new ConfigException(L.l("'{0}' is an invalid value for reuse-session-id.  'true' or 'false' are the allowed values.",
                    reuse));
  }

并且可以看到默認值為COOKIE

private int _reuseSessionId = COOKIE;

    翻一下resin的文檔，可以發現在resin.conf的<session-config>有reuse-session-id這個配置項，resin文檔的說明如下：

    "reuse-session-id defaults to true so that Resin can share the session id amongst different web-apps."

    默認情況下reuse-session-id設置為true，setReuseSessionId("true")會使得_reuseSessionId=COOKIE，而reuseSessionId()方法中的表達式可以簡化:
    (reuseSessionId == TRUE) || (fromCookie && (reuseSessionId == COOKIE));
    --> (COOKIE == TRUE) || (fromCookie && (COOKIE == COOKIE))
    --> (false) || (fromCookie && true)
    --> fromCookie
    因此默認情況下jsessionid用cookie傳遞就可以做到重用,否則就要生成新的jsessionid.

    按照這個思路,只要將reuse-session-id配置項設置為"all",就可以做到即使使用url rewrite也可以重用jsessionid.
    ok，問題解決

posted on 2007-12-28 12:01 sky ao 閱讀(1705) 評論(0) 編輯收藏所屬分類: web

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 解決Jetty下EL版本沖突的問題在ubuntu9.10/sles11下安裝resin并配置開機啟動中遭遇的諸多問題同一個賬號啟動兩個resin而要求使用不同jdk的解決方法 resin的session id reuse特性(3)--總結 resin的session id reuse特性(2)--分析問題誰在創建session(4)-為什么要關注session的創建誰在創建session(3)-湊熱鬧的webwork標簽誰在創建session(2)-悄悄干活的jsp 誰在創建session(1)-不恰當的request.getSession() resin的session id reuse特性(1)--發現問題