web測試中Session實現原理

領測軟件測試網 HTTP協議 （ http://www.w3.org/Protocols/  ）是“一次性單向”協議。 服務端不能主動連接客戶端，只能被動等待并答復客戶端請求�？蛻舳诉B接服務端，發出一個HTTP Request，服務端處理請求，并且返回一個HTTP Response給客戶端，本次HTTP Request-Response Cycle結束。 我們看到，HTTP協議本身并不能支持服務端保存客戶端的狀態信息。于是，Web Server中引入了session的概念，用來保存客戶端的狀態信息。 這里用一個形象的比喻來解釋session的工作方式。假設Web Server是一個商場的存包處，HTTP Request是一個顧客，第一次來到存包處，管理員把顧客的物品存放在某一個柜子里面（這個柜子就相當于Session），然后把一個號碼牌交給這個顧客，作為取包憑證（這個號碼牌就是Session ID）。顧客（HTTP Request）下一次來的時候，就要把號碼牌（Session ID）交給存包處（Web Server）的管理員。管理員根據號碼牌（Session ID）找到相應的柜子（Session），根據顧客（HTTP Request）的請求，Web Server可以取出、更換、添加柜子（Session）中的物品，Web Server也可以讓顧客（HTTP Request）的號碼牌和號碼牌對應的柜子（Session）失效。顧客（HTTP Request）的忘性很大，管理員在顧客回去的時候（HTTP Response）都要重新提醒顧客記住自己的號碼牌（Session ID）。這樣，顧客（HTTP Request）下次來的時候，就又帶著號碼牌回來了。 我們可以看到，Session ID實際上是在客戶端和服務端之間通過HTTP Request和HTTP Response傳來傳去的。 我們看到，號碼牌（Session ID）必須包含在HTTP Request里面。關于HTTP Request的具體格式，請參見HTTP協議（http://www.w3.org/Protocols/  ）。這里只做一個簡單的介紹。 在Java Web Server（即Servlet/JSP Server）中，Session ID用jsessionid表示（請參見Servlet規范）。 HTTP Request一般由3部分組成： （1）Request Line 這一行由HTTP Method（如GET或POST）、URL、和HTTP版本號組成。 例如，GET http://www.w3.org/pub/WWW/TheProject.html  HTTP/1.1 GET http://www.google.com/search?q=Tomcat  HTTP/1.1 POSThttp://www.google.com/search  HTTP/1.1 GET http://www.somsite.com/menu.do;jsessionid=1001  HTTP/1.1 （2）Request Headers 這部分定義了一些重要的頭部信息，如，瀏覽器的種類，語言，類型。Request Headers中還可以包括Cookie的定義。例如： User-Agent: Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Accept-Language: en-us Cookie: jsessionid=1001 （3）Message Body 如果HTTP Method是GET，那么Message Body為空。 如果HTTP Method是POST，說明這個HTTP Request是submit一個HTML Form的結果， 那么Message Body為HTML Form里面定義的Input屬性。例如， user=guest password=guest jsessionid=1001 主意，如果把HTML Form元素的Method屬性改為GET。那么，Message Body為空，所有的Input屬性都會加在URL的后面。你在瀏覽器的URL地址欄中會看到這些屬性，類似于 http://www.somesite/login.do?use ... amp;jsessionid=1001  從理論上來說，這3個部分（Request URL，Cookie Header, Message Body）都可以用來存放Session ID。由于Message Body方法必須需要一個包含Session ID的HTML Form，所以這種方法不通用。 一般用來實現Session的方法有兩種： （1）URL重寫。 Web Server在返回Response的時候，檢查頁面中所有的URL，包括所有的連接，和HTML Form的Action屬性，在這些URL后面加上“;jsessionid=XXX”。 下一次，用戶訪問這個頁面中的URL。jsessionid就會傳回到Web Server。 （2）Cookie。 如果客戶端支持Cookie，Web Server在返回Response的時候，在Response的Header部分，加入一個“set-cookie: jsessionid=XXXX”header屬性，把jsessionid放在Cookie里傳到客戶端。 客戶端會把Cookie存放在本地文件里，下一次訪問Web Server的時候，再把Cookie的信息放到HTTP Request的“Cookie”header屬性里面，這樣jsessionid就隨著HTTP Request返回給Web Server。 我們來看Tomcat5的源代碼如何支持jsessionid。 org.apache.coyote.tomcat5.CoyoteResponse類的toEncoded()方法支持URL重寫。 String toEncoded(String url, String sessionId) { … StringBuffer sb = new StringBuffer(path); if( sb.length() > 0 ) { // jsessionid can't be first. sb.append(";jsessionid="); sb.append(sessionId); } sb.append(anchor); sb.append(query); return (sb.toString()); } 我們來看org.apache.coyote.tomcat5.CoyoteRequest的兩個方法configureSessionCookie() doGetSession()用Cookie支持jsessionid. protected void configureSessionCookie(Cookie cookie) { … } HttpSession doGetSession(boolean create){ … // Creating a new session cookie based on that session if ((session != null) && (getContext() != null) && getContext().getCookies()) { Cookie cookie = new Cookie(Globals.SESSION_COOKIE_NAME, session.getId()); configureSessionCookie(cookie); ((HttpServletResponse) response).addCookie(cookie); } … } Session的典型應用是存放用戶的Login信息，如用戶名，密碼，權限角色等信息，應用程序（如Email服務、網上銀行等系統）根據這些信息進行身份驗證和權限驗證

文章來源于領測軟件測試網 http://www.kjueaiud.com/

TAG: session Session web Web WEB 原理