|
3#
楼主 |
发表于 2018-3-2 17:37:19
|
只看该作者
8、如何防止用户打开两个浏览器窗口操作导致的session混乱
这个问题与防止表单多次提交是类似的,可以通过设置客户端的令牌来解决。就是在服务器每次生
成一个不同的id返回给客户端,同时保存在session里,客户端提交表单时必须把这个id也返回服务器,
程序首先比较返回的id与保存在session里的值是否一致,如果不一致则说明本次操作已经被提交过了。
可以参看《J2EE核心模式》关于表示层模式的部分。需要注意的是对于使用javascript window.open打
开的窗口,一般不设置这个id,或者使用单独的id,以防主窗口无法操作,建议不要再window.open打
开的窗口里做修改操作,这样就可以不用设置。
9、为什么在Weblogic Server中改变session的值后要重新调用一次session.setValue
做这个动作主要是为了在集群环境中提示Weblogic Server session中的值发生了改变,需要向其他
服务器进程复制新的session值。
10、为什么session不见了
排除session正常失效的因素之外,服务器本身的可能性应该是微乎其微的,虽然笔者在iPlanet6SP1
加若干补丁的Solaris版本上倒也遇到过;浏览器插件的可能性次之,笔者也遇到过3721插件造成的问
题;理论上防火墙或者代理服务器在cookie处理上也有可能会出现问题。
出现这一问题的大部分原因都是程序的错误,最常见的就是在一个应用程序中去访问另外一个应用程
序。我们在下一节讨论这个问题。
七、跨应用程序的session共享
常常有这样的情况,一个大项目被分割成若干小项目开发,为了能够互不干扰,要求每个小项目
作为一个单独的web应用程序开发,可是到了最后突然发现某几个小项目之间需要共享一些信息,
或者想使用session来实现SSO(single sign on),在session中保存login的用户信息,最自然的要求是应
用程序间能够访问彼此的session。
然而按照Servlet规范,session的作用范围应该仅仅限于当前应用程序下,不同的应用程序之间是
不能够互相访问对方的session的。各个应用服务器从实际效果上都遵守了这一规范,但是实现的细
节却可能各有不同,因此解决跨应用程序session共享的方法也各不相同。
首先来看一下Tomcat是如何实现web应用程序之间session的隔离的,从Tomcat设置的cookie路径
来看,它对不同的应用程序设置的cookie路径是不同的,这样不同的应用程序所用的session id是不
同的,因此即使在同一个浏览器窗口里访问不同的应用程序,发送给服务器的session id也可以是不
同的。
根据这个特性,我们可以推测Tomcat中session的内存结构大致如下。
笔者以前用过的iPlanet也采用的是同样的方式,估计SunONE与iPlanet之间不会有太大的差别。对于
这种方式的服务器,解决的思路很简单,实际实行起来也不难。要么让所有的应用程序共享一个sess
ion id,要么让应用程序能够获得其他应用程序的session id。
iPlanet中有一种很简单的方法来实现共享一个session id,那就是把各个应用程序的cookie路径都
设为/(实际上应该是/NASApp,对于应用程序来讲它的作用相当于根)。
<session-info>
<path>/NASApp</path>
</session-info>
需要注意的是,操作共享的session应该遵循一些编程约定,比如在session attribute名字的前面加
上应用程序的前缀,使得setAttribute("name", "neo")变成setAttribute("app1.name", "neo"),以防
止命名空间冲突,导致互相覆盖。
在Tomcat中则没有这么方便的选择。在Tomcat版本3上,我们还可以有一些手段来共享session。
对于版本4以上的Tomcat,目前笔者尚未发现简单的办法。只能借助于第三方的力量,比如使用文件
、数据库、JMS或者客户端cookie,URL参数或者隐藏字段等手段。
我们再看一下Weblogic Server是如何处理session的。
从截屏画面上可以看到Weblogic Server对所有的应用程序设置的cookie的路径都是/,这是不是意味
着在Weblogic Server中默认的就可以共享session了呢?然而一个小实验即可证明即使不同的应用程
序使用的是同一个session,各个应用程序仍然只能访问自己所设置的那些属性。这说明Weblogic Ser
ver中的session的内存结构可能如下:
对于这样一种结构,在session机制本身上来解决session共享的问题应该是不可能的了。除了借助于
第三方的力量,比如使用文件、数据库、JMS或者客户端cookie,URL参数或者隐藏字段等手段,还
有一种较为方便的做法,就是把一个应用程序的session放到ServletContext中,这样另外一个应用程
序就可以从ServletContext中取得前一个应用程序的引用。示例代码如下,
应用程序A :
context.setAttribute("appA", session);
应用程序B :
contextA = context.getContext("/appA");
HttpSession sessionA = (HttpSession)contextA.getAttribute("appA");
值得注意的是这种用法不可移植,因为根据ServletContext的JavaDoc,应用服务器可以处于安全的
原因对于context.getContext("/appA");返回空值,以上做法在Weblogic Server 8.1中通过。
那么Weblogic Server为什么要把所有的应用程序的cookie路径都设为/呢?原来是为了SSO,凡是共
享这个session的应用程序都可以共享认证的信息。一个简单的实验就可以证明这一点,修改首先登录
的那个应用程序的描述符weblogic.xml,把cookie路径修改为/appA访问另外一个应用程序会重新要求
登录,即使是反过来,先访问cookie路径为/的应用程序,再访问修改过路径的这个,虽然不再提示登
录,但是登录的用户信息也会丢失。注意做这个实验时认证方式应该使用FORM,因为浏览器和web
服务器对basic认证方式有其他的处理方式,第二次请求的认证不是通过session来实现的。具体请参
看[7] secion 14.8 Authorization,你可以修改所附的示例程序来做这些试验。
八、总结
session机制本身并不复杂,然而其实现和配置上的灵活性却使得具体情况复杂多变。这也要求我
们不能把仅仅某一次的经验或者某一个浏览器,服务器的经验当作普遍适用的经验,而是始终需要具
体情况具体分析。
|
|