resin的session id reuse特性(1)--发现问题

fgdfg

近期因工作需求探索apache + resin的多机负载分布和多个webapp统一认证的实现方案, 期间设计多个webapp统一认证的实现方案时, 发现resin下通过cookie来传递jsessionid和通过url重写将jsessionid放url中传递, 会有细微的差异.

    注：后来研究发现是resin提供的session id reuse特性，只是此文第一次发布时我还不知道有此特性，惭愧。

在servlet规范中，HttpServletSession的获取时通过调用request.getSession(boolean createnew)方法来实现，其实现机制可以简单的理解为: 存在一个大的hashMap结构，key就是jsessionid，而valule是HttpservletSession对象。 request.getSession(boolean createnew)方法通过jsessionid来获取对应的HttpservletSession，如果不存在并且参数createnew= true，则创建一个新的HttpservletSession对象，并设置jsessionid=session.getId() ，保存到hashMap结构中。以后再传递这个jsessionid. （详细的过程比较复杂，各家的实现也不尽相同，但大体的实现原理是如此。）

关注以下几点：
一). 获取jsessionid
    jsessionid的传递可以是以下途径
    1. 放在cookie中
        Cookie: JSESSIONID=abcrmF3Gx-5Z-hhkgHfzr

    2. 以参数形式放在url
        http://10.3.2.35:11280/wmail/welcome.action?jsessionid=abcQNqiT4C01rg-necLBr

    3. 用form表单传递，通常是用隐藏域
        <input type="hidden" name="jsessionid" value="abcQNqiT4C01rg-necLBr"/>

    4. url重写
        http://10.3.2.35:11280/jid=abcQNqiT4C01rg-necLBr/wmail/welcome.action
           或者
        http://10.3.2.35:11280/wmail/welcome.action;jsessionid=abcQNqiT4C01rg-necLBr

    如果当前还没有jsessionid则当然就无法获取，通常用户第一次访问或者登录前就是这种情况.
   
    可以通过request.getRequestedSessionId() 方法来获取本次http 请求的jsessonid值。

二）获取到的HttpServletSession对象

    如果HttpServletSession对象是已经存在的，则
    1. session.isNew()=false
    2. request.getRequestedSessionId() == jsessionid == session.getId()

    如果HttpServletSession对象是调用request.getSession(true) (简写的request.getSession()方法等同于request.getSession(true) )时新创建的，则有以下特征：
    1. session.isNew()=true
    2. 以后传递的jsessionid=session.getId()
        注意这里，如果request.getRequestedSessionId() 是空值，情况比较简单，以后传递jsessionid=session.getId()就是了。
        但是如果request.getRequestedSessionId() 不是空值，通过这个值没有获取到已经存在的session对象，而是返回了一个新的session对象，这个时候新的session.getId()和原有的request.getRequestedSessionId() 关系如何呢？下面详细阐述这种情况。
   

三) request.getRequestedSessionId() 不是空值时，新的session.getId() = ?


    1). 测试代码如下:
    HttpServletRequest request = ServletActionContext.getRequest();
    String jid1 = request.getRequestedSessionId();
    HttpSession session = request.getSession(true);
    String jid2 = request.getRequestedSessionId();

    logger.info("get HttpSession , isNew()=" + session.isNew()
                    + " getId()=" + session.getId()
                    + " and jid1=" + jid1
                    + " and jid2=" + jid2);

    其中jid1和jid2分别是调用request.getSession(true)方法前后的request.getRequestedSessionId()值。

    在resin中运行以上代码，测试request.getRequestedSessionId() 不是空值而对应jsessionid的session不存在的情况。
   
    2). 通过cookie来传递jsessionid的情况，测试结果如下：

        get HttpSession, isNew()=true getId()=abcqIgQroQ2Ov9lGYcYAr and jid1=abcqIgQroQ2Ov9lGYcYAr and jid2=abcqIgQroQ2Ov9lGYcYAr

        get HttpSession, isNew()=true getId()=abcPQ3mpxKz8H-4UMdYAr and jid1=abcPQ3mpxKz8H-4UMdYAr and jid2=abcPQ3mpxKz8H-4UMdYAr

        get HttpSession, isNew()=true getId()=abcdeE3iDy_bI536tLYAr and jid1=abcdeE3iDy_bI536tLYAr and jid2=abcdeE3iDy_bI536tLYAr

        可以发现以下规律：
        1.  isNew()=true
        2. session.getId() == jid1 == jid2
            即新创建的session会使用传递过来的jsessionid值，即使这个jsessionid值根本没有对应的session存在

    3)  通过url重写，将jsessionid放url中传递, 测试结果如下：

        get HttpSession, isNew()=true getId()=abccw1zEC_RcN43qHMYAr and jid1=abcdUdTfKuLbge8h_LYAr and jid2=abcdUdTfKuLbge8h_LYAr
        http://10.3.2.35:11280/jid=abccw1zEC_RcN43qHMYAr/uab/contactList.action

        get HttpSession, isNew()=true getId()=abcFK7yOB1irgaYqgNYAr and jid1=abci-HpMPJU3egCB7MYAr and jid2=abci-HpMPJU3egCB7MYAr
        http://10.3.2.35:11280/jid=abcFK7yOB1irgaYqgNYAr/uab/contactList.action

        (后面的http地址为页面跳转完成后显示在浏览器地址框中的页面url)
      
        可以发现以下规律：
        1. isNew()=true
        2. jid1 == jid2
            request.getRequestedSessionId()值在request.getSession(true)方法调用前后无变化
        3. session.getId()  != jid1
            即新创建的session不使用传递过来的jsessionid值,而是采用新值
        4. 跳转完成后的http地址中,使用的是session.getId(), 而不是原来通过url重写传递过来的jsessionid
            此时新的jsessionid覆盖了旧有的jsessionid.

    4) 总结
        在resin的实现中, 通过cookie来传递jsessionid的情况和通过url重写将jsessionid放url中传递, 会有细微的差异.
        以上测试的resin版本为3.0.26, 稍后有时间考虑测试其他版本和tomcat.

   
        这个差异直接影响到跨webapp的多个webapp直接相互传递jsessionid的方式, 通过cookie传递jsessionid可以做到多个webapp之间在页面跳转时始终是一个相同的jsessionid,这种各个应用都可以方便的获取到自己的HttpServletSession对象. 但是如果是通过url重写,则破坏了jsessonid的一致性, 逼迫各个webapp之间跳转时必须用其他额外的方法来保证传递给对方的jsessionid的准确性,因为此时每个webapp的jsessionid 都不一样了,必须记住其他每个webapp的jsessionid，造成跨webapp的页面跳转极其复杂，难于接受.