我正在发送$.getJSON(HTTP GET)请求两次(使用不同的数据),一次又一次(假设我们有request1和request2)。我可以在FF和Chrome的开发人员工具中看到相同的cookie:JSESSIONID=FD0D502635EEB67E3D36203E26CBB59A标题字段。
$.getJSON
cookie:JSESSIONID=FD0D502635EEB67E3D36203E26CBB59A
在服务器端,我尝试获取会话:
HttpSession session = request.getSession(); boolean isSessionNew = session.isNew(); String sessionId = session.getId(); String cookieFromRequestHeader = request.getHeader("cookie");
如果我为收到的两个请求打印这些变量,则 request1:
isSessionNew:true cookieFromRequestHeader:JSESSIONID = FD0D502635EEB67E3D36203E26CBB59A session.getId():9212B14094AB92D0F7F10EE21F593E52
request2:
isSessionNew:true cookieFromRequestHeader:JSESSIONID = FD0D502635EEB67E3D36203E26CBB59A session.getId():E8734E413FA3D3FEBD4E38A7BF27BA58
如您所见,服务器清楚地在上为request2创建了一个新会话request.getSession()。但是为什么要这样做呢?理论上,它应该是同步的,并为您提供与第一个请求(首先到达此代码)所创建的会话相同的会话。现在,为确保会话创建是同步的,我执行了以下操作:
request.getSession()
@Autowired private ServletContext servletContext; ... synchronized (servletContext) { HttpSession session = request.getSession(); boolean isSessionNew = session.isNew(); String sessionId = session.getId(); String cookieFromRequestHeader = request.getHeader("cookie"); }
我得到了相同的结果。
如果稍后我再次发送相同的请求(让我说request1’和request2’),我得到的是 request1’:
isSessionNew:false cookieFromRequestHeader:JSESSIONID = E8734E413FA3D3FEBD4E38A7BF27BA58 session.getId():E8734E413FA3D3FEBD4E38A7BF27BA58
request2’:
如果现在仔细查看,会话ID是相同的(在request1’和request2’中),并且是从request2创建的最后一个。 有没有办法让我在很短的时间内从多个后续请求中获得相同的会话?
我没有使用任何特殊功能-我正在使用Spring的即用型会话策略。而且,看起来好像来自第2个请求(request1和request2)的cookie JSESSIONID来自我第一次访问该页面时(假设它创建此JSESSIONID时有一个request0发送到服务器)。但是看起来,除非您显式调用request.getSession(),否则后端/服务器将始终为每个响应创建一个新的JSESSIONID并将其发送回客户端。因此,当响应发出后,客户端发送新请求时,它将具有新的JSESSIONID。看起来Spring开箱即用的会话处理无法正常工作。
亲切的问候, 专制
其他研究 :
我想看看是否可以使用HttpSessionListner注册会话创建。这样,我可以看到创建了ID为FD0D502635EEB67E3D36203E26CBB59A的会话(在request1和request2中发送的cookie)。而且,使用侦听器(SessionProcessor)进行天气处理,我可以按ID将会话存储在地图中,然后再从cookie中按ID检索会话(因此无需创建另一个会话)。 所以这是代码:
public interface ISessionProcessor extends ISessionRetriever, ISessionPopulator { } public interface ISessionRetriever { HttpSession getSession(String sessionId); } public interface ISessionPopulator { HttpSession setSession(String sessionId, HttpSession session); }
分开这些的原因是因为我只想允许侦听器向地图添加会话,而控制器只能通过request.getSession()创建会话- 因此,总是调用列表器的sessionCreated方法(就像您将在下面看到)。
public class SessionProcessor implements ISessionProcessor { private Map<String, HttpSession> sessions = new HashMap<String, HttpSession>(); @Override public HttpSession getSession(String sessionId) { return sessions.get(sessionId); } @Override public HttpSession setSession(String sessionId, HttpSession session) { return sessions.put(sessionId, session); } } public class SessionRetrieverHttpSessionListener implements HttpSessionListener { private static final Logger LOGGER = LoggerFactory.getLogger(SessionRetrieverHttpSessionListener.class); @Autowired private ISessionPopulator sessionPopulator; @Override public void sessionCreated(HttpSessionEvent se) { HttpSession session = se.getSession(); LOGGER.debug("Session with id {} created. MaxInactiveInterval: {} session:{}", new Object[]{session.getId(), session.getMaxInactiveInterval(), session}); sessionPopulator.setSession(session.getId(), session); } @Override public void sessionDestroyed(HttpSessionEvent se) { HttpSession session = se.getSession(); // session has been invalidated and all session data (except Id) is no longer available LOGGER.debug("Session with id {} destroyed. MaxInactiveInterval: {}, LastAccessedTime: {}, session:{}", new Object[]{session.getId(), session.getMaxInactiveInterval(), session.getLastAccessedTime(), session}); } }
在web.xml中:org.springframework.web.context.ContextLoaderListener
<servlet> <servlet-name>appServlet</servlet-name> <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class> <init-param> <param-name>contextConfigLocation</param-name> <param-value>/WEB-INF/spring/my-servlet-context.xml</param-value> </init-param> <load-on-startup>1</load-on-startup> </servlet> <listener> <listener-class>mypackage.listener.SessionRetrieverHttpSessionListener</listener-class> </listener> <servlet-mapping> <servlet-name>appServlet</servlet-name> <url-pattern>/*</url-pattern> </servlet-mapping>
在my-servlet-context.xml中:
<bean class="mypackage.listener.SessionProcessor"/> <bean class="mypackage.SomeController"/>
在我的控制器中:
synchronized (servletContext) { String cookieFromRequestHeader = request.getHeader("cookie"); LOG.debug("cookieFromRequestHeader:{}", new Object[] {cookieFromRequestHeader}); String jsessionIdFromCookieFromRequestHeader = cookieFromRequestHeader.substring(cookieFromRequestHeader.indexOf("=") + 1); LOG.debug("jsessionIdFromCookieFromRequestHeader:{}", new Object[] {jsessionIdFromCookieFromRequestHeader}); session = sessionRetriever.getSession(jsessionIdFromCookieFromRequestHeader); LOG.debug("session:{}", new Object[] {session}); if (session == null) { LOG.debug("request.isRequestedSessionIdFromCookie():{}, request.isRequestedSessionIdFromURL():{}, WebUtils.getSessionId(request):{}.", new Object[] {request.isRequestedSessionIdFromCookie(), request.isRequestedSessionIdFromURL(), WebUtils.getSessionId(request)}); session = request.getSession(); boolean isSessionNew = session.isNew(); LOG.debug("Is session new? - {}. The session should not be new after the first fingerprint part is received - check if this occured in the logs - if that happend than there is an error!", isSessionNew); LOG.debug("request.isRequestedSessionIdFromCookie():{}, request.isRequestedSessionIdFromURL():{}, WebUtils.getSessionId(request):{}.", new Object[] {request.isRequestedSessionIdFromCookie(), request.isRequestedSessionIdFromURL(), WebUtils.getSessionId(request)}); //read https://stackoverflow.com/a/2066883 and think about using ServletContextAware also. LOG.debug("cookieFromRequestHeader:{} session.getId(): {}", new Object[]{cookieFromRequestHeader, session.getId()}); } }
这给了我相同的结果。似乎通过request.getSession以外的其他方式创建会话(当弹簧本身开箱即用创建会话时)不是由侦听器注册的,还是cookie / jsessionID来自其他地方。寻找更多答案。
其他 来源 ,帮助我去通过HttpSession的问题: 在控制器servlet上下文注入 并发的概述当你将工作与HttpSession中 使用HttpSession对象做同步(避免这个) 与HttpSession中工作时,“最好”的方式做同步 一些春天参考资料:安全性 讨论中的 会话管理 会话管理, 有关在拥有sessionId时如何获取会话的讨论(我在上面做了什么): coderanch讨论 stackoverflow 有助于我完成侦听器自动装配的帖子
看起来好像来自第2个请求(request1和request2)的cookie JSESSIONID来自我第一次访问该页面时(假设它创建此JSESSIONID时有一个request0发送到服务器)。
这不是真的。我在同一台服务器的同一域下部署了2个应用程序。因此,当我调用http://mydomain.com/app1/initpage时,服务器为ID为FD0D502635EEB67E3D36203E26CBB59A的app1创建了一个会话,并将此JSESSIONID以cookie的形式发送给客户端。客户端将cookie保存在mydomain.com下,第二次执行http://mydomain.com/app2/executeService时,客户端浏览器从cookie的请求标头中发送了JSESSIONID。我在服务器上收到了它,但这不是另一个app2中的会话。
这解释了以下事实:当我发送其他两个请求(request1’和request2’)时,它们在适当的应用程序上创建了一个sessionID。
至于我的问题的具体答案, 看来您需要使第一个请求同步,因此您始终可以确保在以下请求中具有相同的会话ID。 第一个请求之后的以下请求可以是异步的。
