国产欧美一区二区精品久导航,久久久久久久久国产精品,天堂av在线

关于session的详�l�解�?

batistuta — Wed, 29 Nov 2006 03:22:00 GMT

一、术语session

　　在我的经验里�Q�session�q�个词被滥用的程度大概仅�ơ于transaction�Q�更加有��的是transaction与session在某些语境下的含义是相同的�?/p>

　　session�Q�中文经常翻译�ؓ(f��)�?x��)话�Q�其本来的含义是指有始有�l�的一�p�d��动作/消息�Q�比如打�?sh��)话时从拿�v�?sh��)话拨号到挂断�?sh��)话这中间的一�p�d��q�程可以�U�C��Z��个session。有时候我们可以看到这��L(f��ng)��话“在一个浏览器�?x��)话期间�Q?..”，�q�里的会(x��)话一词用的就是其本义�Q�是指从一个浏览器�H�口打开到关闭这个期间①。最混�ؕ的是“用��P��客户端）(j��)在一�ơ会(x��)话期间”这样一句话�Q�它可能指用��L(f��ng)��一�p�d��动作�Q�一般情况下是同某个具体目的相关的一�p�d��动作�Q�比如从��d��到选购商品到结账登�?gu��)��样一个网上购物的�q�程�Q�有时候也被称��Z��个transaction�Q�，然而有时候也可能仅仅是指一�ơ连接，也有可能是指含义①，其中的差别只能靠上下文来推断②�?/p>

　　然而当session一词与�|�络协议相关联时�Q�它又往往隐含�?ji��n)“面向连接”和/或“保持状态”这样两个含义，“面向连接”指的是在通信双方在通信之前要先建立一个通信的渠道，比如打电(sh��)话，直到�Ҏ(gu��)��接了(ji��n)�?sh��)话通信才能开始，与此相对的是写信�Q�在你把信发出去的时候你�q�不能确认对方的地址是否正确�Q�通信渠道不一定能建立�Q�但对发信�h来说�Q�通信已经开始了(ji��n)。“保持状态”则是指通信的一方能够把一�p�d��的消息关联�v来，使得消息之间可以互相依赖�Q�比如一个服务员能够认出再次光��(f��)的老顾客�ƈ且记得上�ơ这个顾客还?g��u)Ơ店里一块钱。这一�cȝ��例子有“一个TCP session”或者“一个POP3 session”③�?/p>

　　而到�?ji��n)web服务器蓬勃发展的时代�Q�session在web开发语境下的语义又有了(ji��n)新的扩展�Q�它的含义是指一�cȝ��来在客户端与服务器之间保持状态的解决�Ҏ(gu��)��④。有时候session也用来指�q�种解决�Ҏ(gu��)��的存储结构，如“把xxx保存在session里”⑤。由于各�U�用于web开发的语言在一定程度上都提供了(ji��n)对这�U�解��x��案的支持�Q�所以在某种特定语言的语境下�Q�session也被用来指代该语�a�的解��x��案，比如�l�常把Java里提供的 javax.servlet.http.HttpSession��U�Cؓ(f��)session⑥�?/p>

　　鉴于�q�种混�ؕ已不可改变，本文中session一词的�q�用也会(x��)�Ҏ(gu��)��上下文有不同的含义，请大家注意分辨�?/p>

　　在本文中�Q��用中文“浏览器�?x��)话期间”来表达含义①，使用“session机制”来表达含义④，使用“session”表辑֐�义⑤�Q��用具体的“HttpSession”来表达含义�?/p>

　　二、HTTP协议与状态保�?/p>

　　HTTP协议本��n是无状态的�Q�这与HTTP协议本来的目的是相符的，客户端只需要简单的向服务器��h��下蝲某些文�g�Q�无论是客户端还是服务器都没有必要纪录彼此过�ȝ��行�ؓ(f��)�Q�每一�ơ请求之间都是独立的�Q�好比一个顾客和一个自动售货机或者一个普通的�Q�非�?x��)员�Ӟ�?j��)大卖��Z��间的关系一栗��?/p>

　　然而聪明（或者贪�?j��)？�Q�的��Z��很快发现如果能够提供一些按需生成的动态信息会(x��)使web变得更加有用�Q�就像给有线�?sh��)视加上��?gu��)��功能一栗��这�U�需求一斚w��q��HTML逐步��d��?ji��n)表单、脚本、DOM�{�客��L(f��ng)��行�ؓ(f��)�Q�另一斚w��在服务器端则出现�?ji��n)CGI规范以响应客��L(f��ng)��的动态请求，作�ؓ(f��)传输载体的HTTP协议也添加了(ji��n)文�g上蝲、cookie�q�些�Ҏ(gu��)��。其中cookie的作用就是�ؓ(f��)�?ji��n)解决HTTP协议无状态的�~�陷所作出的努力。至于后来出现的session机制则是又一�U�在客户端与服务器之间保持状态的解决�Ҏ(gu��)��?/p>

　　让我们用几个例子来描�q�C��下cookie和session机制之间的区别与联系。笔者曾�l�常�ȝ��一家咖啡店有喝5杯咖啡免费赠一杯咖啡的优惠�Q�然而一�ơ性消�?杯咖啡的��Z��(x��)微乎其微�Q�这时就需要某�U�方式来�U�录某位��֮�的消�Ҏ(gu��)��量。想象一下其实也无外乎下面的几种�Ҏ(gu��)��Q?/p>

　　1、该店的店员很厉宻I��能记住每位顾客的消费数量�Q�只要顾客一走进咖啡店，店员��q��道该怎么对待�?ji��n)。这�U�做法就是协议本�w�支持状态�?/p>

　　2、发�l�顾客一张卡片，上面记录着消费的数量，一般还有个有效期限。每�ơ消�Ҏ(gu��)��Q�如果顾客出�C��张卡片，则此�ơ消费就�?x��)与以前或以后的消费相联�p��v来。这�U�做法就是在客户端保持状态�?/p>

　　3、发�l�顾客一张会(x��)员卡�Q�除�?ji��n)卡号之外什么信息也不纪录，每次消费�Ӟ��如果��֮�出示该卡片，则店员在店里的纪录本上找到这个卡号对应的�U�录��d��一些消费信息。这�U�做法就是在服务器端保持状态�?/p>

　　�׃��HTTP协议是无状态的�Q�而出于种�U�考虑也不希望使之成�ؓ(f��)有状态的�Q�因此，后面两种�Ҏ(gu��)��成为现实的选择。具体来说cookie机制采用的是在客��L(f��ng)��保持状态的�Ҏ(gu��)��Q�而session机制采用的是在服务器端保持状态的�Ҏ(gu��)��。同时我们也看到�Q�由于采用服务器端保持状态的�Ҏ(gu��)��在客��L(f��ng)��也需要保存一个标识，所以session机制可能需要借助于cookie机制来达��C��存标识的目的�Q�但实际上它�q�有其他选择�?/p>

　　三、理解cookie机制

　　cookie机制的基本原理就如上面的例子一��L(f��ng)��单，但是�q�有几个问题需要解冻I��(x��)“会(x��)员卡”如何分发；“会(x��)员卡”的内容�Q�以�?qi��ng)客户如何��用“会(x��)员卡”�?/p>

　　正统的cookie分发是通过扩展HTTP协议来实现的�Q�服务器通过在HTTP的响应头中加上一行特�D�的指示以提�C�浏览器按照指示生成相应的cookie。然而纯�_�的客户端脚本如JavaScript或者VBScript也可以生成cookie�?/p>

　　而cookie的��用是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器��(g��)查所有存储的cookie�Q�如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置�Q�则把该cookie附在��h��资源的HTTP��h��头上发送给服务器。意思是麦当劳的�?x��)员卡只能在麦当劳的店里出示�Q�如果某家分店还发行�?ji��n)自��q��?x��)员卡，那么�q�这家店的时候除�?ji��n)要出示麦当劳的会(x��)员卡，�q�要出示�q�家店的�?x��)员卡�?/p>

　　cookie的内容主要包括：(x��)名字�Q��|��q�期旉��Q��\径和域�?/p>

　　其中域可以指定某一个域比如.google.com�Q�相当于��d��招牌�Q�比如宝�z�公司，也可以指定一个域下的具体某台机器比如www.google.com或者f(xi��)roogle.google.com�Q�可以用飘柔来做比�?/p>

　　路径��是跟在域名后面的URL路径�Q�比�?或�?foo�{�等�Q�可以用某飘柔专柜做比�?/p>

　　路径与域合在一起就构成�?ji��n)cookie的作用范围�?/p>

　　如果不设�|�过期时��_(d��)��则表�C��个cookie的生命期为浏览器�?x��)话期间�Q�只要关闭浏览器�H�口�Q�cookie��消�׃��(ji��n)。这�U�生命期为浏览器�?x��)话期的cookie被称��Z��(x��)话cookie。会(x��)话cookie一般不存储在硬盘上而是保存在内存里�Q�当然这�U�行为�ƈ不是规范规定的。如果设�|�了(ji��n)�q�期旉��Q�浏览器��׃��(x��)把cookie保存到硬盘上�Q�关闭后再次打开��览器，�q�些cookie仍然有效直到��过讑֮�的过期时间�?/p>

　　存储在硬盘上的cookie可以在不同的��览器进�E�间�׃�n�Q�比如两个IE�H�口。而对于保存在内存里的cookie�Q�不同的��览器有不同的处理方式。对于IE�Q�在一个打开的窗口上按Ctrl-N�Q�或者从文�g菜单�Q�打开的窗口可以与原窗口共享，而��用其他方式新开的IE�q�程则不能共享已�l�打开的窗口的内存cookie�Q�对于Mozilla Firefox0.8�Q�所有的�q�程和标�{�N��都可以共享同��L(f��ng)��cookie。一般来说是用javascript的window.open打开的窗口会(x��)与原�H�口�׃�n内存cookie。浏览器对于�?x��)话cookie的这�U�只认cookie不认人的处理方式�l�常�l�采用session机制的web应用�E�序开发者造成很大的困扰�?/p>

　　下面��是一个goolge讄��cookie的响应头的例�?/p>

HTTP/1.1 302 Found
Location: http://www.google.com/intl/zh-CN/
Set-Cookie: PREF=ID=0565f77e132de138:NW=1:TM=1098082649:LM=1098082649:S=KaeaCFPo49RiA_d8; expires=Sun, 17-Jan-2038 19:14:07 GMT; path=/; domain=.google.com
Content-Type: text/html

　四、理解session机制

　session机制是一�U�服务器端的机制�Q�服务器使用一�U�类��g��散列表的�l�构�Q�也可能��是使用散列表）(j��)来保存信息�?/p>

　　当程序需要�ؓ(f��)某个客户端的��h��创徏一个session的时候，服务器首先检查这个客��L(f��ng)��的请求里是否已包含了(ji��n)一个session标识 - �U�Cؓ(f��)session id�Q�如果已包含一个session id则说明以前已�l��ؓ(f��)此客��L(f��ng)��创徏�q�session�Q�服务器��按照session id把这个session��(g��)索出来��用（如果��(g��)索不刎ͼ�可能�?x��)新��Z��个）(j��)�Q�如果客��L(f��ng)��h��不包含session id�Q�则为此客户端创��Z��个session�q�且生成一个与此session相关联的session id�Q�session id的值应该是一个既不会(x��)重复�Q�又不容易被扑ֈ�规律以仿造的字符�Ԍ��q�个session id��被在本�ơ响应中�q�回�l�客��L(f��ng)��保存�?/p>

　　保存�q�个session id的方式可以采用cookie�Q�这样在交互�q�程中浏览器可以自动的按照规则把�q�个标识发挥�l�服务器。一般这个cookie的名字都是类��g�� SEEESIONID�Q�而。比如weblogic对于web应用�E�序生成的cookie�Q�JSESSIONID= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764�Q�它的名字就�?JSESSIONID�?/p>

　　�׃��cookie可以被�h为的��止�Q�必��L��其他机制以便在cookie被禁止时仍然能够把session id传递回服务器。经常被使用的一�U�技术叫做URL重写�Q�就是把session id直接附加在URL路径的后面，附加方式也有两种�Q�一�U�是作�ؓ(f��)URL路径的附加信息，表现形式为http://...../xxx; jsessionid=ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764 另一�U�是作�ؓ(f��)查询字符串附加在URL后面�Q�表现�Ş式�ؓ(f��)http://...../xxx?jsessionid= ByOK3vjFD75aPnrF7C2HmdnV6QZcEbzWoWiBYEnLerjQ99zWpBng!-145788764
�q�两�U�方式对于用��h��说是没有区别的，只是服务器在解析的时候处理的方式不同�Q�采用第一�U�方式也有利于把session id的信息和正常�E�序参数区分开来�?/p>

　　��Z��(ji��n)在整个交互过�E�中始终保持状态，��必��d��每个客户端可能请求的路径后面都包含这个session id�?/p>

　　另一�U�技术叫做表单隐藏字�D�c(di��n)��就是服务器�?x��)自动修改表单，��d��一个隐藏字�D�，以便在表单提交时能够把session id传递回服务器。比如下面的表单

　　在被传递给客户端之前将被改写成

　　�q�种技术现在已较少应用�Q�笔者接触过的很古老的iPlanet6(SunONE应用服务器的前��n)��׃��用了(ji��n)�q�种技术。实际上�q�种技术可以简单的用对action应用URL重写来代�ѝ�?/p>

　　在谈论session机制的时候，常常听到�q�样一�U�误解“只要关闭浏览器�Q�session��消�׃��(ji��n)”。其实可以想象一下会(x��)员卡的例子，除非��֮��d��对店家提出销卡，否则店家�l�对不会(x��)��L��删除��֮�的资料。对session来说也是一��L(f��ng)��Q�除非程序通知服务器删除一个session�Q�否则服务器�?x��)一直保留，�E�序一般都是在用户做log off的时候发个指令去删除session。然而浏览器从来不会(x��)��d��在关闭之前通知服务器它?y��u)��要关闭�Q�因此服务器�Ҏ(gu��)��不会(x��)有机�?x��)知道浏览器已经关闭�Q�之所以会(x��)有这�U�错觉，是大部分session机制都��用会(x��)话cookie来保存session id�Q�而关闭浏览器后这个session id��消�׃��(ji��n)�Q�再�ơ连接服务器时也��无法找到原来的session。如果服务器讄��的cookie被保存到��盘上，或者��用某�U�手�D�|��写浏览器发出�?HTTP��h��_(d��)��把原来的session id发送给服务器，则再�ơ打开��览器仍然能够找到原来的session�?/p>

　　恰恰是由于关闭浏览器不会(x��)��D��session被删除，�q��服务器�ؓ(f��)seesion讄��?ji��n)一个失效时��_(d��)��当距��d��L(f��ng)��上一�ơ��用session的时间超�q�这个失效时间时�Q�服务器��可以认为客��L(f��ng)��已经停止�?ji��n)活动，才�?x��)把session删除以节省存储空间�?/p>

　　五、理解javax.servlet.http.HttpSession

　　HttpSession是Java�q�_��对session机制的实现规范，因�ؓ(f��)它仅仅是个接口，具体到每个web应用服务器的提供商，除了(ji��n)对规范支持之外，仍然�?x��)有一些规范里没有规定的细微差异。这里我们以BEA的Weblogic Server8.1作�ؓ(f��)例子来演�C��?/p>

　　首先�Q�W(xu��)eblogic Server提供�?ji��n)一�p�d��的参数来控制它的HttpSession的实玎ͼ�包括使用cookie的开关选项�Q��用URL重写的开关选项�Q�session持久化的讄��Q�session失效旉��的设�|�，以及(qi��ng)针对cookie的各�U�设�|�，比如讄��cookie的名字、�\径、域�Q�cookie的生存时间等�?/p>

　　一般情况下�Q�session都是存储在内存里�Q�当服务器进�E�被停止或者重启的时候，内存里的session也会(x��)被清�I�，如果讄��?session的持久化�Ҏ(gu��)��，服务器就�?x��)把session保存到硬盘上�Q�当服务器进�E�重新启动或�q�些信息��能够被再次使用�Q�W(xu��)eblogic Server支持的持久性方式包括文件、数据库、客��L(f��ng)��cookie保存和复制�?/p>

　　复制严格说来不算持久化保存，因�ؓ(f��)session实际上还是保存在内存里，不过同样的信息被复制到各个cluster内的服务器进�E�中�Q�这样即使某个服务器�q�程停止工作也仍然可以从其他�q�程中取得session�?/p>

　　cookie生存旉��的设�|�则�?x��)�?ji��ng)响浏览器生成的cookie是否是一个会(x��)话cookie。默认是使用�?x��)话cookie。有兴趣的可以用它来试验我们在第四节里提到的那个误解�?/p>

　　cookie的�\径对于web应用�E�序来说是一个非帔R��要的选项�Q�W(xu��)eblogic Server对这个选项的默认处理方式��得它与其他服务器有明昄��区别。后面我们会(x��)专题讨论�?/p>

　　关于session的设�|�参考[5] http://e-docs.bea.com/wls/docs70/webapp/weblogic_xml.html#1036869

　　六、HttpSession常见问题

　　�Q�在本小节中session的含义�ؓ(f��)⑤和⑥的混合�Q?/p>

　　1、session在何时被创徏

　　一个常见的误解是以为session在有客户端访问时��p��创徏�Q�然而事实是直到某server端程序调�?HttpServletRequest.getSession(true)�q�样的语句时才被创徏�Q�注意如果JSP没有昄��的��?<%@page session="false"%> 关闭session�Q�则JSP文�g在编译成Servlet时将�?x��)自动加上这样一条语句HttpSession session = HttpServletRequest.getSession(true);�q�也是JSP中隐含的session对象的来历�?/p>

　　�׃��session�?x��)消耗内存资源，因此�Q�如果不打算使用session�Q�应该在所有的JSP中关闭它�?/p>

　　2、session何时被删�?/p>

　　�l�合前面的讨论，session在下列情况下被删除a.�E�序调用HttpSession.invalidate();或b.距离上一�ơ收到客��L(f��ng)��发送的session id旉��间隔��过�?ji��n)session的超时设�|?或c.服务器进�E�被停止�Q�非持久session�Q?/p>

　　3、如何做到在��览器关闭时删除session

　　严格的讲�Q�做不到�q�一炏V��可以做一点努力的办法是在所有的客户端页面里使用javascript代码window.oncolose来监视浏览器的关闭动作，然后向服务器发送一个请求来删除session。但是对于浏览器崩溃或者强行杀死进�E�这些非常规手段仍然无能为力�?/p>

　　4、有个HttpSessionListener是怎么回事

　　你可以创��L(f��ng)��listener�ȝ��控session的创建和销毁事�Ӟ��使得在发生这��L(f��ng)��事�g时你可以做一些相应的工作。注意是 session的创建和销毁动作触发listener�Q�而不是相反。类似的与HttpSession有关的listener�q�有 HttpSessionBindingListener�Q�HttpSessionActivationListener�?HttpSessionAttributeListener�?/p>

　　5、存攑֜�session中的对象必须是可序列化的�?/p>

　　不是必需的。要求对象可序列化只是�ؓ(f��)�?ji��n)session能够在集��中被复制或者能够持久保存或者在必要时server能够暂时把session交换出内存。在Weblogic Server的session中放�|�一个不可序列化的对象在控制��C��?x��)收��C��个警告。我所用过的某个iPlanet版本如果session中有不可序列化的对象�Q�在session销毁时�?x��)有一个Exception�Q�很奇怪�?/p>

　　6、如何才能正��的应付客户端禁止cookie的可能�?/p>

　　�Ҏ(gu��)��有的URL使用URL重写�Q�包括超链接�Q�form的action�Q�和重定向的URL�Q�具体做法参见[6]
http://e-docs.bea.com/wls/docs70/webapp/sessions.html#100770

　　7、开两个��览器窗口访问应用程序会(x��)使用同一个session�q�是不同的session

　　参见�W�三��节对cookie的讨论，对session来说是只认id不认人，因此不同的浏览器�Q�不同的�H�口打开方式以及(qi��ng)不同的cookie存储方式都会(x��)对这个问题的�{�案有媄(ji��ng)响�?/p>

　　8、如何防止用��h��开两个��览器窗口操作导致的session混�ؕ

　　�q�个问题与防止表单多�ơ提交是�c�M��的，可以通过讄��客户端的令牌来解冟뀂就是在服务器每�ơ生成一个不同的id�q�回�l�客��L(f��ng)��Q�同时保存在 session里，客户端提交表单时必须把这个id也返回服务器�Q�程序首先比较返回的id与保存在session里的值是否一��_(d��)��如果不一致则说明本次操作已经被提交过�?ji��n)。可以参看《J2EE核心(j��)模式》关于表�C�层模式的部分。需要注意的是对于��用javascript window.open打开的窗口，一般不讄��q�个id�Q�或者��用单独的id�Q�以防主�H�口无法操作�Q�徏议不要再window.open打开的窗口里做修�Ҏ(gu��)��作，�q�样��可以不用设�|��?/p>

　　9、�ؓ(f��)什么在Weblogic Server中改变session的值后要重新调用一�ơsession.setValue
做这个动作主要是��Z��(ji��n)在集��环境中提示Weblogic Server session中的值发生了(ji��n)改变�Q�需要向其他服务器进�E�复制新的session倹{�?/p>

　　10、�ؓ(f��)什么session不见�?/p>

　　排除session正常失效的因素之外，服务器本�w�的可能性应该是微乎其微的，虽然�W�者在iPlanet6SP1加若�q�补丁的Solaris版本上倒也遇到�q�；��览器插件的可能性次之，�W�者也遇到�q?721插�g造成的问题；理论上防火墙或者代理服务器在cookie处理上也有可能会(x��)出现问题�?/p>

　　出现�q�一问题的大部分原因都是�E�序的错误，最常见的就是在一个应用程序中去访问另外一个应用程序。我们在下一节讨��个问题�?/p>

　　七、跨应用�E�序的session�׃�n

　　常常有这��L(f��ng)��情况�Q�一个大��目被分割成若干��项目开发，��Z��(ji��n)能够互不�q�扰�Q�要求每个小��目作�ؓ(f��)一个单独的web应用�E�序开发，可是��C��(ji��n)最后突然发现某几个��项目之间需要共享一些信息，或者想使用session来实现SSO (single sign on)�Q�在session中保存login的用户信息，最自然的要求是应用�E�序间能够访问彼此的session�?/p>

　　然而按照Servlet规范�Q�session的作用范围应该仅仅限于当前应用程序下�Q�不同的应用�E�序之间是不能够互相讉K��Ҏ(gu��)��的session 的。各个应用服务器从实际效果上都遵守了(ji��n)�q�一规范�Q�但是实现的�l�节却可能各有不同，因此解决跨应用程序session�׃�n的方法也各不相同�?/p>

　　首先来看一下Tomcat是如何实现web应用�E�序之间session的隔��ȝ��Q�从Tomcat讄��的cookie路径来看�Q�它对不同的应用�E�序讄��的cookie路径是不同的�Q�这样不同的应用�E�序所用的session id是不同的�Q�因此即使在同一个浏览器�H�口里访问不同的应用�E�序�Q�发送给服务器的session id也可以是不同的�?br /> �W�者以前用�q�的iPlanet也采用的是同��L(f��ng)��方式�Q�估计SunONE与iPlanet之间不会(x��)有太大的差别。对于这�U�方式的服务器，解决的思�\很简单，实际实行��h��也不难。要么让所有的应用�E�序�׃�n一个session id�Q�要么让应用�E�序能够获得其他应用�E�序的session id�?/p>

　　iPlanet中有一�U�很��单的�Ҏ(gu��)��来实现共享一个session id�Q�那��是把各个应用程序的cookie路径都设�?�Q�实际上应该�?NASApp�Q�对于应用程序来讲它的作用相当于根）(j��)�?/p>

/NASApp

　　需要注意的是，操作�׃�n的session应该遵��@一些编�E�约定，比如在session attribute名字的前面加上应用程序的前缀�Q��得setAttribute("name", "neo")变成setAttribute("app1.name", "neo")�Q�以防止命名�I�间冲突�Q�导致互相覆盖�?/p>

　　在Tomcat中则没有�q�么方便的选择。在Tomcat版本3上，我们�q�可以有一些手�D�|��׃�nsession。对于版�?以上�?Tomcat�Q�目前笔者尚未发现简单的办法。只能借助于第三方的力量，比如使用文�g、数据库、JMS或者客��L(f��ng)��cookie�Q�URL参数或者隐藏字�D늭�手段�?/p>

　　我们再看一下Weblogic Server是如何处理session的�?br />

　　从截屏画面上可以看到Weblogic Server�Ҏ(gu��)��有的应用�E�序讄��的cookie的�\径都�?�Q�这是不是意味着在Weblogic Server中默认的��可以共享session�?ji��n)呢�Q�然而一个小实验卛_��证明即��不同的应用程序��用的是同一个session�Q�各个应用程序仍然只能访问自己所讄��的那些属性。这说明Weblogic Server中的session的内存结构可能如�?br />

　　对于�q�样一�U�结构，在session机制本��n上来解决session�׃�n的问题应该是不可能的�?ji��n)。除�?ji��n)借助于第三方的力量，比如使用文�g、数据库、JMS或者客��L(f��ng)��cookie�Q�URL参数或者隐藏字�D늭�手段�Q�还有一�U�较为方便的做法�Q�就是把一个应用程序的session攑ֈ� ServletContext中，�q�样另外一个应用程序就可以从ServletContext中取得前一个应用程序的引用。示例代码如下，

　　应用�E�序A

context.setAttribute("appA", session);

　　应用�E�序B

contextA = context.getContext("/appA");
HttpSession sessionA = (HttpSession)contextA.getAttribute("appA");

　　值得注意的是�q�种用法不可�U�L��Q�因为根据ServletContext的JavaDoc�Q�应用服务器可以处于安全的原因对于context.getContext("/appA");�q�回�I��|��以上做法在Weblogic Server 8.1中通过�?/p>

　　那么Weblogic Server��Z��么要把所有的应用�E�序的cookie路径都设�?呢？原来是�ؓ(f��)�?ji��n)SSO�Q�凡是共享这个session的应用程序都可以�׃�n认证的信息。一个简单的实验��可以证明这一点，修改首先��d��的那个应用程序的描述�W�weblogic.xml�Q�把cookie路径修改�?appA 讉K��另外一个应用程序会(x��)重新要求��d��Q�即使是反过来，先访问cookie路径�?的应用程序，再访问修改过路径的这个，虽然不再提示��d��Q�但是登录的用户信息也会(x��)丢失。注意做�q�个实验时认证方式应该��用FORM�Q�因为浏览器和web服务器对basic认证方式有其他的处理方式�Q�第二次��h��的认证不是通过 session来实现的。具体请参看[7] secion 14.8 Authorization�Q�你可以修改所附的�C�Z��E�序来做�q�些试验�?/p>

　　八、�ȝ��

　　session机制本��n�q�不复杂�Q�然而其实现和配�|�上的灵�z�L��却使得具体情况复杂多变。这也要求我们不能把仅仅某一�ơ的�l�验或者某一个浏览器�Q�服务器的经验当作普遍适用的经验，而是始终需要具体情况具体分析�?/p>

batistuta 2006-11-29 11:22 发表评论

Subversion使用手记

batistuta — Tue, 28 Nov 2006 04:20:00 GMT

一直以来对于自��q��目都是使用CVS�q�行��理�Q�听说Subversion很久�?ji��n)，但是都没有时间去��试。想��x��间都是省出来的，于是军_��Q�一天学一点，不多�Q�积累成沛_��?br /> Subversion和CVS相比�Q�除�?ji��n)包含�?ji��n)CVS的全部特性之外，也加入了(ji��n)新的理念�?br /> 新理�?br /> 1、�\径、改名、以�?qi��ng)文件meta-data也可�q�入版本控制范围�?br /> �~�少�q�些�Ҏ(gu��)��是CVS被抱怨最多的斚w��之一�Q�subversion不止�Ҏ(gu��)��件内容和文�g存放位置加入控制�Q�也对目录，拯��Q�重命名操作加入版本控制。它也允许文�?目录的相兛_��数据meta-data和文�?目录本��n一赯��版本控制��h��Q��ƈ提供一�U�机制对文�g的执行权限进行控制�?br /> 2、Commit动作真正成�ؓ(f��)原子�U�的操作�?ji��n)�?br />直到整个commit动作都成功前不会(x��)有�Q何部分的commit�?x��)生效。版本修订号只是预确认，而不是对文�g预确认�?��译不出�?-_-;)日志信息��绑定到修订信息�Q�而不是象CVS那样冗余的存储下来�?br /> 3、提供Apache�|�络服务器选项�Q�支持WebDAV/DeltaV协议�?br />Subversion可以使用��Z��http协议的WebDAV/DeltaV协议�q�行�|�络通讯�Q��ƈ由Apache服务器提供源码仓库方的网�l�浏览服务。这为Subversion提供�?ji��n)比CVS更好的协同工作能力，�q�提供了(ji��n)各式各样的自��q��关键�Ҏ(gu��)��：(x��)授权�Q�基于�\径的授权�Q�线性压�~�，以及(qi��ng)基本源码仓库��览�?br />4、独立服务器选项
Subversion也能提供独立服务器选项�Q��用自定的协议�Q�不是每个�h都想�q�行Apache2.x�Q�独立服务器可以作�ؓ(f��)�pȝ��的inetd服务�q�行�Q��ƈ提供基本的授权。它也能使用ssh�q�行加密�?br /> 5、徏�?nobr>分支和标�{�操作成��Z��耗时的操作�?br />�q�些动作没理��p��时�Q�所以我们不再让它们耗时�?br />6、分支与标签的实现都是基于底层的拯��操作�Q�一个拷贝占用一块固定大��的�I�间。�Q何拷贝都可以作�ؓ(f��)一份标�{�；假如你开始对某个版本的拷贝进行commit动作�Q�那它也��成��Z��个分支�?�q�与CVS�?分支节点做标�{?方式不同)
7、天然的client/server�l�构�Q�层�ơ化库设计�?br />Subversion从设计之初即采用client/server机构�Q�因此避免了(ji��n)困扰CVS�?ji��n)许久的一些维护性难题�?br />代码被构��Zؓ(f��)一�l�带有详�l�接口说明的模块�Q�用以方便的由其他应用程序进行调用�?br />8、Client/server协议向双方发送对比差异�?br />�|�络协议利用宽带有效地发送对比差异给客户端和服务器端双方�? CVS只是 server->client,?没有client->server )
9、资源消耗与数据改变的大��成正比�Q�而不是与数据本��n大小成正比一般来��_(d��)��一��Subversion操作所需旉��与操作最�l�变化的大小成正比。而不是与操作所触及(qi��ng)的整个项目的大小成正比，�q�是Subversion源代码仓库模型的一个特性�?br /> 10、有效的处理二进制文�?br />Subversion对于二进制文件和文本文�g的处理同��h��效，因�ؓ(f��)subversion使用一�U�二�q�制差异比较��法来增量存储那些连�l�的修订本�?br /> 11、易于语法分析的输出�?br />所有Subversion命��o(h��)行客��L(f��ng)��的输出都是仔�l�设计的�Q�可��L��Z�h所理解�Q�也适于�E�序自动解析。可�q�行脚本语言处理��是下一步优先考虑的特性�?br /> 好了(ji��n)�Q�开始��用吧�?br />Subversion到目前的安装已经非常��单了(ji��n)。到Subversion�|�站下蝲Windows下的安装文�g�Q�简单的步骤��可以完成安装，而且安装�E�序已经自动注册Path�Q�直接在命��o(h��)行模式就可以使用�?ji��n)�?br /> 首先初始化Repository�Q�输入命�?
svnadmin create D:\TestRepository\
然后�Q�把现有的项目的目录�l�构以及(qi��ng)文�g导入到Repository中：(x��)
svn import D:\Projects\Project1 file:///D:\TestRepository\Project1 -m “初始化�?br /> 用启动服�?br /> svnserve -d -r D:\TestRepository\
客户端Checkout
svn checkout svn://��L��?Project1?? (卌��取Project1的项�?
以上都是很简单的命��o(h��)。而且上面只用��C��(ji��n)一�U�服务模式，Apache的还在尝试中�?br /> 目前只用��C��(ji��n)Subversion的基本功能，��已�l�感觉不错了(ji��n)�Q�觉得入门很��L��Q�帮助文档也比CVS要好的多�?br /> Subversion也有囑�Ş的客��L(f��ng)��Q�可以在 TortoiseSVN 扑ֈ��?br /> Subversion也VS.Net的插�Ӟ��可以在AnkhSVN 扑ֈ��?br /> TortoiseSVN�怿�不错�Q�因��Z��前用�q�它的另一个For CVS的工��P��可以和浏览器�l�合在一��P��非常方便和美观�?br />服务
Subversion��h��两种服务模式�Q�一个是作�ؓ(f��)Apache的模块，另一个是自定义协议的Subserve服务。作为Apache的模块，客户端可以通过WebDAV/DeltaV协议讉K��Repository�Q�而��用Subserve则��?br />Subversion的自定义协议�?br />下表是两�U�服务模式的比较�Q?/p>

功能

Apache + mod_dav_sub

Svnserve

验证方式

��Z��HTTPS�?span lang="EN-US">X.509�?span lang="EN-US">LDAP�?span lang="EN-US">NTLM或其�?span lang="EN-US">Apache支持的验�?span lang="EN-US">

CRAM-MD5 或�?span lang="EN-US">SSH

用户帐户��理

�U�有的用��h��?span lang="EN-US">

�U�有的用��h��件或已有的系�l�帐�?span lang="EN-US">

授权��理

blanket read/write access 或单一目录的访问控�?span lang="EN-US">

blanket read/write access

加密

可选的SSL

可选的SSH隧道

交互�?span lang="EN-US">

可通过支持WebDAV的客��L(f��ng)��讉K��

无交互�?span lang="EN-US">

Web 讉K��

有限的内�|�支持，或通过�W�三方的工具�Q�例�?span lang="EN-US">ViewCVS

通过�W�三方的支持�Q�如ViewCVS

速度

�E�慢

�E�快

初始安装

�E�复�?span lang="EN-US">

相当��?span lang="EN-US">

启动svnserve服务
svnserve 是一个轻量��的服务，使用自定义的协议通过TCP/IP�?nobr>客户端通讯�?br />客户端通过�?svn:// 或�?svn+ssh:// 开始的URL讉K��svnserve服务器�?br />启动服务�?br />端口监控�Q�inetd�Q�模�?br />如果你打��用端口监控来启动处理客��L(f��ng)��讉K��h��的进�E�，你可以通过传入参数-i来启动：(x��)
svnserve -i
当��?i参数启动服务的时候，svnserve通过stdin和stdout用自定义协议和客��L(f��ng)��
通讯。同时服务侦�?690端口�?br />独立端口监控�q�程
使用参数-d启动服务作�ؓ(f��)一个独立的端口监控�q�程�?br />svnserve -d
当运行svnserve在独立端口监控模式时�Q�你可以使用--listen-port=�?-listen-host=参数来自定义需要的端口和主机名�U�。当前模式默认的端口�?690�?br />当然�Q�也有第三种�Ҏ(gu��)��启动svnserve�Q�也��是使用“隧道模式”，使用-t参数启动服务。这个模式要求远�E�服务程序，如RSH或SSH�Q�已�l�成功验证用��P��q�且使用已经校验的用户启动一个属于该用户的svnserve�q�程。当使用该模式提供服务时�Q�要��认启动的用户帐户具备对Repository的读/写权限�?br />讄��目目录
当svnserve开始运行时�Q�它?y��u)��?x��)暴露所有的Repository到网�l�上。不�q�，当客��L(f��ng)��需要获取一个Repository的内�Ҏ(gu��)��Q�需要指定Reopsitory的绝�?nobr>路径。例如：(x��)一个Repository攑֜�文�g路径
C:/Project Repository/Project1
那么当客��L(f��ng)��讉K��Ӟ��需要指定绝对�\径：(x��)
svn://host/C:/Project Repository/Project1
所以，��Z��(ji��n)增加保密性，你可以��用参�?r指定需要暴露的Repository的�\径，当用戯��问时�Q�只需指定Repository的名�U�即可。例如上面的Repository�Q�当启动服务�Ӟ��使用如下的方法：(x��)
svn -d -r C:/Project Repository
那么当客��L(f��ng)��讉K��Ӟ��则��?br />svn://host/Project1
��可以获取数据了(ji��n)�?br />内置的验证和授权
当客��L(f��ng)��q�接��C��个svnserve�q�程�Ӟ��下面的流�E�就�?x��)触发�?x��)
1、客户选择一个指定的Repository�Q?br />2、服务处理Repository的配�|�文�?conf/svnserve.conf文�g�Q��ƈ且开始执行在其中定义的所有验证和授权�{�略�Q?br />3、依赖与情�Ş和授权策略：(x��)
a)客户端也许允许匿名访问而不需要验证，或�?br />b)客户但也�?d��ng)R��要在��M��时候被要求验证�Q�或�?br />c)假如处于"隧道模式"中，客户端将声明自己已经可以被外部验证�?br />很显�?d��ng)��如上所��_(d��)��用户文�g是一个名为svnserve.conf的，攑֜�conf目录下的文�g�?br />现在我们来看看如何配�|�这个文�Ӟ��(x��)
�q�个配置文�g攄��在Repository的目录中的conf目录下，它有两个节点�Q?br />[general]
[users]
其中�Q�[general]的配�|�信息有�Q?br />anon-access = read
auth-access = write
其中表示对于验证有效的以�?qi��ng)没通过验证的用户可以做什么事情。分别有read, write和none
[users]�?nobr>标签的配�|�内�Ҏ(gu��)��Q?br />USERNAME = PASSWORD
password-db = passwd
realm = My First Repository
其中表示�Q�用户名对应的密码是什么，或者指定一个存储用户名和密码的文�g的相�Ҏ(gu��)��l�对路径以及(qi��ng)指定�?ji��n)Repository的验证领域。如果两个Repository有相同的验证领域�Q�那么它们应该有相同的密码数据库�Q�反之亦然。默认的领域��是指向当前的Repository的�\径，与服务器的Repository的根目录相关�?/p>

batistuta 2006-11-28 12:20 发表评论