jsessionid传递对session实现机制的影响.docVIP

近期因工作需求探索apache + resin的多机负载分布和多个webapp统一认证的实现方案, 期间设计多个webapp统一认证的实现方案时, 发现resin下通过cookie来传递jsessionid和通过url重写将jsessionid放url中传递, 会有细微的差异. 　　在servlet规范中，HttpServletSession的获取时通过调用request.getSession(boolean createnew)方法来实现，其实现机制可以简单的理解为: 存在一个大的hashMap结构，key就是jsessionid，而valule是HttpservletSession对象。request.getSession(boolean createnew)方法通过jsessionid来获取对应的HttpservletSession，如果不存在并且参数createnew=true，则创建一个新的HttpservletSession对象，并设置jsessionid=session.getId() ，保存到hashMap结构中。以后再传递这个jsessionid. (详细的过程比较复杂，各家的实现也不尽相同，但大体的实现原理是如此。) 　　关注以下几点： 　　一). 获取jsessionid 　　jsessionid的传递可以是以下途径 　　1. 放在cookie中 　　Cookie: JSESSIONID=abcrmF3Gx-5Z-hhkgHfzr 　　2. 以参数形式放在url 　　5:11280/wmail/welcome.action?jsessionid=abcQNqiT4C01rg-necLBr 　　3. 用form表单传递，通常是用隐藏域 input type=hidden name=jsessionid value=abcQNqiT4C01rg-necLBr/ 　　4. url重写 　　5:11280/jid=abcQNqiT4C01rg-necLBr/wmail/welcome.action 　　或者 　　5:11280/wmail/welcome.action;jsessionid=abcQNqiT4C01rg-necLBr 　　如果当前还没有jsessionid则当然就无法获取，通常用户第一次访问或者登录前就是这种情况. 　　可以通过request.getRequestedSessionId() 方法来获取本次http 请求的jsessonid值。 二)获取到的HttpServletSession对象 　　如果HttpServletSession对象是已经存在的，则 　　1. session.isNew()=false 　　2. request.getRequestedSessionId() == jsessionid == session.getId() 　　如果HttpServletSession对象是调用request.getSession(true) (简写的request.getSession()方法等同于request.getSession(true) )时新创建的，则有以下特征： 　　1. session.isNew()=true 　　2. 以后传递的jsessionid=session.getId() 　　注意这里，如果request.getRequestedSessionId() 是空值，情况比较简单，以后传递jsessionid=session.getId()就是了。 　　但是如果request.getRequestedSessionId() 不是空值，通过这个值没有获取到已经存在的session对象，而是返回了一个新的session对象，这个时候新的session.getId()和原有的request.getRequestedSessionId() 关系如何呢?下面详细阐述这种情况。 　　三) request.getRequestedSessionId() 不是空值时，新的session.getId() = ? 　　1). 测试代码如下: 　　HttpServletRequest request = ServletActionContext.getRequest(); 　　String jid1 = request.getRequestedSessionId(); 　　HttpSession session = request.getSession(true); 　　String jid2 = request.getRequestedSessionId(); 　　(get HttpSession , isNew()= + session.isNew() 　　+ getId()=