Tomcat源码解析七:Tomcat Session管理机制
前面几篇我们分析了Tomcat的启动,关闭,请求处理的流程,tomcat的classloader机制,本篇将接着分析Tomcat的session管理方面的内容。
在开始之前,我们先来看一下总体上的结构,熟悉了总体结构以后,我们在一步步的去分析源代码。Tomcat session相光的类图如下:
通过上图,我们可以看出每一个StandardContext会关联一个Manager,默认情况下Manager的实现类是StandardManager,而StandardManager内部会聚合多个Session,其中StandardSession是Session的默认实现类,当我们调用Request.getSession的时候,Tomcat通过StandardSessionFacade这个外观类将StandardSession包装以后返回。
上面清楚了总体的结构以后,我们来进一步的通过源代码来分析一下。咋们首先从Request的getSession方法看起。
- org.apache.catalina.connector.Request#getSession
- public HttpSession getSession() {
- Session session = doGetSession(true);
- if (session == null) {
- return null;
- }
- return session.getSession();
- }
从上面的代码,我们可以看出首先首先调用doGetSession方法获取Session,然后再调用Session的getSession方法返回HttpSession,那接下来我们再来看看doGetSession方法:
- org.apache.catalina.connector.Request#doGetSession
- protected Session doGetSession(boolean create) {
- // There cannot be a session if no context has been assigned yet
- if (context == null) {
- return (null);
- }
- // Return the current session if it exists and is valid
- if ((session != null) && !session.isValid()) {
- session = null;
- }
- if (session != null) {
- return (session);
- }
- // Return the requested session if it exists and is valid
- // 1
- Manager manager = null;
- if (context != null) {
- manager = context.getManager();
- }
- if (manager == null)
- {
- return (null); // Sessions are not supported
- }
- // 2
- if (requestedSessionId != null) {
- try {
- session = manager.findSession(requestedSessionId);
- } catch (IOException e) {
- session = null;
- }
- if ((session != null) && !session.isValid()) {
- session = null;
- }
- if (session != null) {
- session.access();
- return (session);
- }
- }
- // Create a new session if requested and the response is not committed
- // 3
- if (!create) {
- return (null);
- }
- if ((context != null) && (response != null) &&
- context.getServletContext().getEffectiveSessionTrackingModes().
- contains(SessionTrackingMode.COOKIE) &&
- response.getResponse().isCommitted()) {
- throw new IllegalStateException
- (sm.getString("coyoteRequest.sessionCreateCommitted"));
- }
- // Attempt to reuse session id if one was submitted in a cookie
- // Do not reuse the session id if it is from a URL, to prevent possible
- // phishing attacks
- // Use the SSL session ID if one is present.
- // 4
- if (("/".equals(context.getSessionCookiePath())
- && isRequestedSessionIdFromCookie()) || requestedSessionSSL ) {
- session = manager.createSession(getRequestedSessionId());
- } else {
- session = manager.createSession(null);
- }
- // Creating a new session cookie based on that session
- if ((session != null) && (getContext() != null)
- && getContext().getServletContext().
- getEffectiveSessionTrackingModes().contains(
- SessionTrackingMode.COOKIE)) {
- // 5
- Cookie cookie =
- ApplicationSessionCookieConfig.createSessionCookie(
- context, session.getIdInternal(), isSecure());
- response.addSessionCookieInternal(cookie);
- }
- if (session == null) {
- return null;
- }
- session.access();
- return session;
- }
下面我们就来重点分析一下,上面代码中标注了数字的地方:
- 标注1(第17行)首先从StandardContext中获取对应的Manager对象,缺省情况下,这个地方获取的其实就是StandardManager的实例。
- 标注2(第26行)从Manager中根据requestedSessionId获取session,如果session已经失效了,则将session置为null以便下面创建新的session,如果session不为空则通过调用session的access方法标注session的访问时间,然后返回。
- 标注3(第43行)判断传递的参数,如果为false,则直接返回空,这其实就是对应的Request.getSession(true/false)的情况,当传递false的时候,如果不存在session,则直接返回空,不会新建。
- 标注4 (第59行)调用Manager来创建一个新的session,这里默认会调用到StandardManager的方法,而StandardManager继承了ManagerBase,那么默认其实是调用了了ManagerBase的方法。
- 标注5 (第72行)创建了一个Cookie,而Cookie的名称就是大家熟悉的JSESSIONID,另外JSESSIONID其实也是可以配置的,这个可以通过context节点的sessionCookieName来修改。比如….
通过doGetSession获取到Session了以后,我们发现调用了session.getSession方法,而Session的实现类是StandardSession,那么我们再来看下StandardSession的getSession方法。
- org.apache.catalina.session.StandardSession#getSession
- public HttpSession getSession() {
- if (facade == null){
- if (SecurityUtil.isPackageProtectionEnabled()){
- final StandardSession fsession = this;
- facade = AccessController.doPrivileged(
- new PrivilegedAction<StandardSessionFacade>(){
- @Override
- public StandardSessionFacade run(){
- return new StandardSessionFacade(fsession);
- }
- });
- } else {
- facade = new StandardSessionFacade(this);
- }
- }
- return (facade);
- }
通过上面的代码,我们可以看到通过StandardSessionFacade的包装类将StandardSession包装以后返回。到这里我想大家应该熟悉了Session创建的整个流程。
接着我们再来看看,Sesssion是如何被销毁的。我们在Tomcat启动过程(Tomcat源代码阅读系列之三)中之处,在容器启动以后会启动一个ContainerBackgroundProcessor线程,这个线程是在Container启动的时候启动的,这条线程就通过后台周期性的调用org.apache.catalina.core.ContainerBase#backgroundProcess,而backgroundProcess方法最终又会调用org.apache.catalina.session.ManagerBase#backgroundProcess,接下来我们就来看看Manger的backgroundProcess方法。
- org.apache.catalina.session.ManagerBase#backgroundProcess
- public void backgroundProcess() {
- count = (count + 1) % processExpiresFrequency;
- if (count == 0)
- processExpires();
- }
上面的代码里,需要注意一下,默认情况下backgroundProcess是每10秒运行一次(StandardEngine构造的时候,将backgroundProcessorDelay设置为了10),而这里我们通过processExpiresFrequency来控制频率,例如processExpiresFrequency的值默认为6,那么相当于没一分钟运行一次processExpires方法。接下来我们再来看看processExpires。
- org.apache.catalina.session.ManagerBase#processExpires
- public void processExpires() {
- long timeNow = System.currentTimeMillis();
- Session sessions[] = findSessions();
- int expireHere = 0 ;
- if(log.isDebugEnabled())
- log.debug("Start expire sessions " + getName() + " at " + timeNow + " sessioncount " + sessions.length);
- for (int i = 0; i < sessions.length; i++) {
- if (sessions[i]!=null && !sessions[i].isValid()) {
- expireHere++;
- }
- }
- long timeEnd = System.currentTimeMillis();
- if(log.isDebugEnabled())
- log.debug("End expire sessions " + getName() + " processingTime " + (timeEnd - timeNow) + " expired sessions: " + expireHere);
- processingTime += ( timeEnd - timeNow );
- }
上面的代码比较简单,首先查找出当前context的所有的session,然后调用session的isValid方法,接下来我们在看看Session的isValid方法。
- org.apache.catalina.session.StandardSession#isValid
- public boolean isValid() {
- if (this.expiring) {
- return true;
- }
- if (!this.isValid) {
- return false;
- }
- if (ACTIVITY_CHECK && accessCount.get() > 0) {
- return true;
- }
- if (maxInactiveInterval > 0) {
- long timeNow = System.currentTimeMillis();
- int timeIdle;
- if (LAST_ACCESS_AT_START) {
- timeIdle = (int) ((timeNow - lastAccessedTime) / 1000L);
- } else {
- timeIdle = (int) ((timeNow - thisAccessedTime) / 1000L);
- }
- if (timeIdle >= maxInactiveInterval) {
- expire(true);
- }
- }
- return (this.isValid);
- }
查看上面的代码,主要就是通过对比当前时间和上次访问的时间差是否大于了最大的非活动时间间隔,如果大于就会调用expire(true)方法对session进行超期处理。这里需要注意一点,默认情况下LAST_ACCESS_AT_START为false,读者也可以通过设置系统属性的方式进行修改,而如果采用LAST_ACCESS_AT_START的时候,那么请求本身的处理时间将不算在内。比如一个请求处理开始的时候是10:00,请求处理花了1分钟,那么如果LAST_ACCESS_AT_START为true,则算是否超期的时候,是从10:00算起,而不是10:01。
接下来我们再来看看expire方法,代码如下:
- org.apache.catalina.session.StandardSession#expire
- public void expire(boolean notify) {
- // Check to see if expire is in progress or has previously been called
- if (expiring || !isValid)
- return;
- synchronized (this) {
- // Check again, now we are inside the sync so this code only runs once
- // Double check locking - expiring and isValid need to be volatile
- if (expiring || !isValid)
- return;
- if (manager == null)
- return;
- // Mark this session as "being expired"
- // 1
- expiring = true;
- // Notify interested application event listeners
- // FIXME - Assumes we call listeners in reverse order
- Context context = (Context) manager.getContainer();
- // The call to expire() may not have been triggered by the webapp.
- // Make sure the webapp's class loader is set when calling the
- // listeners
- ClassLoader oldTccl = null;
- if (context.getLoader() != null &&
- context.getLoader().getClassLoader() != null) {
- oldTccl = Thread.currentThread().getContextClassLoader();
- if (Globals.IS_SECURITY_ENABLED) {
- PrivilegedAction<Void> pa = new PrivilegedSetTccl(
- context.getLoader().getClassLoader());
- AccessController.doPrivileged(pa);
- } else {
- Thread.currentThread().setContextClassLoader(
- context.getLoader().getClassLoader());
- }
- }
- try {
- // 2
- Object listeners[] = context.getApplicationLifecycleListeners();
- if (notify && (listeners != null)) {
- HttpSessionEvent event =
- new HttpSessionEvent(getSession());
- for (int i = 0; i < listeners.length; i++) {
- int j = (listeners.length - 1) - i;
- if (!(listeners[j] instanceof HttpSessionListener))
- continue;
- HttpSessionListener listener =
- (HttpSessionListener) listeners[j];
- try {
- context.fireContainerEvent("beforeSessionDestroyed",
- listener);
- listener.sessionDestroyed(event);
- context.fireContainerEvent("afterSessionDestroyed",
- listener);
- } catch (Throwable t) {
- ExceptionUtils.handleThrowable(t);
- try {
- context.fireContainerEvent(
- "afterSessionDestroyed", listener);
- } catch (Exception e) {
- // Ignore
- }
- manager.getContainer().getLogger().error
- (sm.getString("standardSession.sessionEvent"), t);
- }
- }
- }
- } finally {
- if (oldTccl != null) {
- if (Globals.IS_SECURITY_ENABLED) {
- PrivilegedAction<Void> pa =
- new PrivilegedSetTccl(oldTccl);
- AccessController.doPrivileged(pa);
- } else {
- Thread.currentThread().setContextClassLoader(oldTccl);
- }
- }
- }
- if (ACTIVITY_CHECK) {
- accessCount.set(0);
- }
- setValid(false);
- // Remove this session from our manager's active sessions
- // 3
- manager.remove(this, true);
- // Notify interested session event listeners
- if (notify) {
- fireSessionEvent(Session.SESSION_DESTROYED_EVENT, null);
- }
- // Call the logout method
- if (principal instanceof GenericPrincipal) {
- GenericPrincipal gp = (GenericPrincipal) principal;
- try {
- gp.logout();
- } catch (Exception e) {
- manager.getContainer().getLogger().error(
- sm.getString("standardSession.logoutfail"),
- e);
- }
- }
- // We have completed expire of this session
- expiring = false;
- // Unbind any objects associated with this session
- // 4
- String keys[] = keys();
- for (int i = 0; i < keys.length; i++)
- removeAttributeInternal(keys[i], notify);
- }
- }
上面代码的主流程我已经标注了数字,我们来逐一分析一下:
- 标注1(第18行)标记当前的session为超期
- 标注2(第41行)出发HttpSessionListener监听器的方法。
- 标注3(第89行)从Manager里面移除当前的session
- 标注4(第113行)将session中保存的属性移除。
到这里我们已经清楚了Tomcat中对与StandardSession的创建以及销毁的过程,其实StandardSession仅仅是实现了内存中Session的存储,而Tomcat还支持将Session持久化,以及Session集群节点间的同步。这些内容我们以后再来分析。
Tomcat源码解析七:Tomcat Session管理机制相关推荐
- 【kafka】Kafka 源码解析:Group 协调管理机制
1.概述 转载:Kafka 源码解析:Group 协调管理机制 在 Kafka 的设计中,消费者一般都有一个 group 的概念(当然,也存在不属于任何 group 的消费者),将多个消费者组织成一个 ...
- Tomcat源码解析系列二:Tomcat总体架构
Tomcat即是一个HTTP服务器,也是一个servlet容器,主要目的就是包装servlet,并对请求响应相应的servlet,纯servlet的web应用似乎很好理解Tomcat是如何装载serv ...
- 源码解析 使用tomcat作为web容器时,用到的外观模式
源码解析 使用tomcat作为web容器时,接收浏览器发送过来的请求, tomcat会将请求信息封装成ServletRequest对象, 如下图①处对象. 但是大家想想ServletRequest是一 ...
- Tomcat源码解析五:Tomcat请求处理过程
前面已经分析完了Tomcat的启动和关闭过程,本篇就来接着分析一下Tomcat中请求的处理过程. 在开始本文之前,咋们首先来看看一个Http请求处理的过程,一般情况下是浏览器发送http请求-> ...
- Tomcat 源码解析一初识
为什么我想研究Tomcat源码,我们现在都用的是SpringBoot开发项目,而SpringBoot对错Tomcat集成,导致现在基本上看不到Tomcat的身影了,但是Tomcat不存在吗?只要我 ...
- Tomcat源码解析一:下载源码与导入eclipse
自从写web程序以来,web程序是如何在Tomcat中运行的一直困惑着我,不知道底层的运行机制是无法真正理解web的,所以就开始研究Tomcat源码,Tomcat是一个轻量级的java服务器,再结合& ...
- tomcat源码分析_CVE-2020-9484 tomcat session反序列化漏洞分析
作者:N1gh5合天智汇 title: CVE-2020-9484 tomcat session反序列化漏洞分析 tags: CVE,Tomcat,反序列化 grammar_cjkRuby: true ...
- Tomcat源码解析:环境搭建
下载源码 从github下载tomcat源码 git clone https://github.com/apache/tomcat.git 或者直接fork一份到自己仓库,以便后续添加注释,附上笔者自 ...
- ⭐openGauss数据库源码解析系列文章—— 角色管理⭐
在前面介绍过"9.1 安全管理整体架构和代码概览.9.2 安全认证",本篇我们介绍第9章 安全管理源码解析中"9.3 角色管理"的相关精彩内容介绍. 9.3 角 ...
最新文章
- Mysql连接数据库的操作
- flask 文件上传
- php与服务器关系,php与web服务器关系
- C语言/找出任意两整数之间的素数以及他们的和
- Python3爬虫反反爬之搞定同程旅游加密参数 antitoken
- Java SE 8 docs:Static Methods、Instance Methods、Abstract Methods、Concrete Methods和Fields
- 3d max用不同目标做关键帧_3D动画制作流程大解析
- mysql执行语句返回主键_mysql语句insert后返回主键
- LintCode 137. 克隆图
- storm配置:如何解决worker进程内存过小的问题
- 什么是银行的表内表外业务?
- AR涂涂乐项目之识别图制作模型的制作一
- 实现线程的三种方式KLT/ULT/LWP
- 名帖69 颜真卿 楷书《自书告身帖》
- 为ibus输入法框架制作新世纪五笔码表
- 达梦数据库表新增字段速度测试
- UA OPTI544 量子光学1 Maxwell方程与Lorentz Oscillator回顾
- Tuscany SCA软件架构设计理念分析鉴赏 (一)
- 从精英云到普惠云,青云QingCloud的“性格”变了
- 【SystemC】(二)第一个SystemC程序
热门文章
- pod资源限制,探针,指定资源
- Mysql数据库函数(数字,字符串,日期时间)
- Linux sed编辑器
- php教程链接,php自动给网址加上链接的方法,php网址链接方法_PHP教程
- aoe网最早开始时间和最迟开始时间_关键路径(AOE)网 通俗易懂
- java array iterator_java数组遍历——iterator和for方法
- visual studio 设计器不显示_面向国际市场的装置开发运维软件设计与实现
- android studio 加载ffmpeg.so,Android studio使用已经编译好的ffmpeg .so库
- linux开权限变绿了,解读Linux文件权限的设置方法
- c语言判断一个点在长方体内部_21个入门练手项目,让你轻松玩转C语言