今天看到rails 的session 實現方式時,突然對Tomcat的session 實現方式也產生了好奇心.
一般會認為客戶端在第一次訪問Web容器時,容器會創建一個Session�����,這個Session被添加到一個Map 里,由容器負責維護�����。這個大家都很清楚��,也很容易理解��。但是關鍵是如何與客戶端瀏覽器交換這個SessionId 的信息,很多書都提到有三種方式:cookie�����、URL重寫����、和隱藏表單,后兩種是類似的�����。
如果是第一種�����,那么Sessionid被關聯到一個瀏覽器一關閉就失效的cookie里,然后客戶端瀏覽器每次用這個cookie來標示會話�����。注意這些都是Web容器替我們完成的��。
如果是URL重寫�����,則每個請求字符串后面會被附加如;jsessionid=XXXXXXXXX這樣的標示,用于標示會話。
容器何時決定使用哪一種方法?
我找了一個Winsock Expert的軟件來監測IE 瀏覽器發送和接收的信息����,IE的版本為6.0��,Tomcat的版本為5.0.19,結果如下:當IE瀏覽器向Tomcat第一次發出請求時,
不包含任何Cookie信息,當然這是第一次訪問這個站點。為了比對Cookie的內容,我在訪問的index.jsp頁面中使用了response.setCookie向響應放了一個名為newCookie的Cookie。
最后監測的結果如下��,除了用戶自定義的newCookie之外��,還有一個名為JSESSIONID的Cookie被加入了響應��。
在接下來的請求中,都包含了JSESSIONID這個Cookie�����,在請求內容中能清楚的看到這一點:
但是��,如果用request.getCookies是無法看到JSESSIONID這個Cookie的��,只能看到我自定義的那個newCookie,JSESSIONID這個Cookie被Tomcat隱藏起來了�����,對于編程人員來說��,是不可見的(我無法使用${cookie.JSESSIONID.name}或是${cookie.JSESSIONID.value}來檢查它的名稱和值,雖然這些對我來說都是已知的)��。
得出如下結論:如果客戶端禁用cookie��,就用jsessionid,它的內容不寫在硬盤,而是被ie緩存在內存了,即便客戶端禁用了cookie,jsessionid還是存在的,這樣一來的話,服務器就可以知道來自客戶端的請求是不是來自同一個流覽器了.
==============================
你這里有個誤解,當禁用cookie后,瀏覽器可以接受JSESSIONID,放到瀏覽器內存里,但是瀏覽器不能將這個JSESSIONID放在請求頭里發送給服務器,所以實現不了會話,用戶禁用cookie后,只能用你說的后兩種方法
你的認識是對的����,我在寫這篇blog后�,經過查閱資料意識到自己之前的認識有點偏差��,但忘記改相應的blog了