服务器之家:专注于服务器技术及软件下载分享
分类导航

云服务器|WEB服务器|FTP服务器|邮件服务器|虚拟主机|服务器安全|DNS服务器|服务器知识|Nginx|IIS|Tomcat|

服务器之家 - 服务器技术 - Tomcat - Tomcat 是如何管理Session的方法示例

Tomcat 是如何管理Session的方法示例

2021-09-08 16:35柯三 Tomcat

这篇文章主要介绍了Tomcat 是如何管理Session的方法示例,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友们下面随着小编来一起学习学习吧

学了 concurrenthashmap 却不知如何应用?用了tomcat的session却不知其是如何实现的,session是怎么被创建和销毁的?往下看你就知道了。

session结构

不多废话,直接上图

Tomcat 是如何管理Session的方法示例

仔细观察上图,我们可以得出以下结论

  • httpsession 是javaee标准中操作session的接口类,因此我们实际上操作的是 standardsessionfacade
  • session 保存数据所使用的数据结构是 concurrenthashmap , 如你在图上看到的我们往 session 中保存了一个msg

为什么需要使用 concurrenthashmap 呢?原因是,在处理http请求并不是只有一个线程会访问这个session, 现代web应用访问一次页面,通常需要同时执行多次请求, 而这些请求可能会在同一时刻内被web容器中不同线程同时执行,因此如果采用 hashmap 的话,很容易引发线程安全的问题。

让我们先来看看httpsession的包装类。

standardsessionfacade

在此类中我们可以学习到外观模式(facde)的实际应用。其定义如下所示。

?
1
public class standardsessionfacade implements httpsession

那么此类是如何实现session的功能呢?观察以下代码不难得出,此类并不是httpsession的真正实现类,而是将真正的httpsession实现类进行包装,只暴露httpsession接口中的方法,也就是设计模式中的外观(facde)模式。

?
1
2
3
4
private final httpsession session;
public standardsessionfacade(httpsession session) {
this.session = session;
}

那么我们为什么不直接使用httpsession的实现类呢?

根据图1,我们可以知道httpsession的真正实现类是 standardsession ,假设在该类内定义了一些本应由tomcat调用而非由程序调用的方法,那么由于java的类型系统我们将可以直接操作该类,这将会带来一些不可预见的问题,如以下代码所示。

Tomcat 是如何管理Session的方法示例

而如果我们将 standardsession 再包装一层,上图代码执行的时候将会发生错误。如下图所示,将会抛出类型转换的异常,从而阻止此处非法的操作。

Tomcat 是如何管理Session的方法示例

再进一步,我们由办法绕外观类直接访问 standardsession 吗?

事实上是可以的,我们可以通过反射机制来获取 standardsession ,但你最好清楚自己在干啥。代码如下所示

?
1
2
3
4
5
6
7
8
9
10
11
12
13
@getmapping("/s")
public string sessiontest(httpsession httpsession) throws classnotfoundexception, nosuchfieldexception, illegalaccessexception {
standardsessionfacade session = (standardsessionfacade) httpsession;
class targetclass = class.forname(session.getclass().getname());
 
//修改可见性
field standardsessionfield = targetclass.getdeclaredfield("session");
standardsessionfield.setaccessible(true);
//获取
standardsession standardsession = (standardsession) standardsessionfield.get(session);
 
return standardsession.getmanager().tostring();
}

standardsession

该类的定义如下

?
1
2
public class standardsession implements
httpsession, session, serializable

通过其接口我们可以看出此类除了具有javaee标准中 httpsession 要求实现的功能之外,还有序列化的功能。

在图1中我们已经知道 standardsession 是用 concurrenthashmap 来保存的数据,因此接下来我们主要关注 standardsession 的序列化以及反序列化的实现,以及监听器的功能。

序列化

还记得上一节我们通过反射机制获取到了 standardsession 吗?利用以下代码我们可以直接观察到反序列化出来的 standardsession 是咋样的。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
@getmapping("/s")
public void sessiontest(httpsession httpsession, httpservletresponse response) throws classnotfoundexception, nosuchfieldexception, illegalaccessexception, ioexception {
standardsessionfacade session = (standardsessionfacade) httpsession;
class targetclass = class.forname(session.getclass().getname());
 
//修改可见性
field standardsessionfield = targetclass.getdeclaredfield("session");
standardsessionfield.setaccessible(true);
//获取
standardsession standardsession = (standardsession) standardsessionfield.get(session);
 
//存点数据以便观察
standardsession.setattribute("msg","hello,world");
standardsession.setattribute("user","kesan");
standardsession.setattribute("password", "点赞");
standardsession.setattribute("tel", 10086l);
//将序列化的结果直接写到http的响应中
objectoutputstream objectoutputstream = new objectoutputstream(response.getoutputstream());
 
standardsession.writeobjectdata(objectoutputstream);
}

如果不出意外,访问此接口浏览器将会执行下载操作,最后得到一个文件

Tomcat 是如何管理Session的方法示例

使用 winhex 打开分析,如图所示为序列化之后得结果,主要是一大堆分隔符,以及类型信息和值,如图中红色方框标准的信息。

Tomcat 是如何管理Session的方法示例

不建议大家去死磕序列化文件是如何组织数据的,因为意义不大

如果你真的有兴趣建议你阅读以下代码 org.apache.catalina.session.standardsession.dowriteobject

监听器

在javaee的标准中,我们可以通过配置 httpsessionattributelistener 来监听session的变化,那么在 standardsession 中是如何实现的呢,如果你了解观察者模式,那么想必你已经知道答案了。 以setattribute为例,在调用此方法之后会立即在本线程调用监听器的方法进行处理,这意味着我们不应该在监听器中执行阻塞时间过长的操作。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
public void setattribute(string name, object value, boolean notify) {
//省略无关代码
 //获取上文中配置的事件监听器
object listeners[] = context.getapplicationeventlisteners();
if (listeners == null) {
 return;
}
for (int i = 0; i < listeners.length; i++) {
 //只有httpsessionattributelistener才可以执行
 if (!(listeners[i] instanceof httpsessionattributelistener)) {
 continue;
 }
 httpsessionattributelistener listener = (httpsessionattributelistener) listeners[i];
 try {
 //在当前线程调用监听器的处理方法
 if (unbound != null) {
  if (unbound != value || manager.getnotifyattributelisteneronunchangedvalue()) {
  //如果是某个键的值被修改则调用监听器的attributereplaced方法
  context.firecontainerevent("beforesessionattributereplaced", listener);
  if (event == null) {
   event = new httpsessionbindingevent(getsession(), name, unbound);
  }
  listener.attributereplaced(event);
  context.firecontainerevent("aftersessionattributereplaced", listener);
  }
 } else {
  //如果是新添加某个键则执行attributeadded方法
  context.firecontainerevent("beforesessionattributeadded", listener);
  if (event == null) {
  event = new httpsessionbindingevent(getsession(), name, value);
  }
  listener.attributeadded(event);
  context.firecontainerevent("aftersessionattributeadded", listener);
 }
 } catch (throwable t) {
 //异常处理
 }
}
}

sesssion生命周期

如何保存session

在了解完session的结构之后,我们有必要明确 standardsession 是在何时被创建的,以及需要注意的点。

首先我们来看看 standardsession 的构造函数, 其代码如下所示。

?
1
2
3
4
5
6
7
8
9
10
11
public standardsession(manager manager) {
//调用object类的构造方法,默认已经调用了
//此处再声明一次,不知其用意,或许之前此类有父类?
super();
 
this.manager = manager;
//是否开启访问计数
if (activity_check) {
 accesscount = new atomicinteger();
}
}

在创建 standardsession 的时候都必须传入 manager 对象以便与此 standardsession 关联,因此我们可以将目光转移到 manager ,而 manager 与其子类之间的关系如下图所示。

Tomcat 是如何管理Session的方法示例

我们将目光转移到 managerbase中可以发现以下代码。

?
1
protected map<string, session> sessions = new concurrenthashmap<>();

session 是tomcat自定义的接口, standardsession 实现了 httpsession 以及 session 接口,此接口功能更加丰富,但并不向程序员提供。

查找此属性可以发现,与session相关的操作都是通过操作 sessions 来实现的,因此我们可以明确保存session的数据结构是 concurrenthashmap

Tomcat 是如何管理Session的方法示例

如何创建session

那么session到底是如何创建的呢?我找到了以下方法 managerbase.creaesession , 总结其流程如下。

  • 检查session数是否超过限制,如果有就抛出异常
  • 创建standardsession对象
  • 设置session各种必须的属性(合法性, 最大超时时间, sessionid)
  • 生成sessionid, tomcat支持不同的sessionid算法,本人调试过程其所使用的sessionid生成算法是lazysessionidgenerator(此算法与其他算法不同之处就在于并不会在一开始就加载随机数数组,而是在用到的时候才加载,此处的随机数组并不是普通的随机数组而是securerandom,相关信息可以阅读大佬的文章
  • 增加session的计数,由于tomcat的策略是只计算100个session的创建速率,因此sessioncreationtiming是固定大小为100的链表(一开始为100个值为null的元素),因此在将新的数据添加到链表中时必须要将旧的数据移除链表以保证其固定的大小。session创建速率计算公式如下

(1000*60*counter)/(int)(now - oldest)
其中

  • now为获取统计数据时的时间system.currenttimemillis()
  • oldest为队列中最早创建session的时间
  • counter为队列中值不为null的元素的数量
  • 由于计算的是每分钟的速率因此在此处必须将1000乘以60(一分钟内有60000毫秒)
?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
public session createsession(string sessionid) {
//检查session是否超过限制,如果是则抛出异常
if ((maxactivesessions >= 0) &&
 (getactivesessions() >= maxactivesessions)) {
 rejectedsessions++;
 throw new toomanyactivesessionsexception(
  sm.getstring("managerbase.createsession.ise"),
  maxactivesessions);
}
 
//该方法会创建standardsession对象
session session = createemptysession();
 
//初始化session中必要的属性
session.setnew(true);
//session是否可用
session.setvalid(true);
//创建时间
session.setcreationtime(system.currenttimemillis());
//设置session最大超时时间
session.setmaxinactiveinterval(getcontext().getsessiontimeout() * 60);
string id = sessionid;
if (id == null) {
 id = generatesessionid();
}
session.setid(id);
sessioncounter++;
//记录创建session的时间,用于统计数据session的创建速率
//类似的还有expirerate即session的过期速率
//由于可能会有其他线程对sessioncreationtiming操作因此需要加锁
sessiontiming timing = new sessiontiming(session.getcreationtime(), 0);
synchronized (sessioncreationtiming) {
 //sessioncreationtiming是linkedlist
 //因此poll会移除链表头的数据,也就是最旧的数据
 sessioncreationtiming.add(timing);
 sessioncreationtiming.poll();
}
return session;
}

session的销毁

要销毁session,必然要将session从 concurrenthashmap 中移除,顺藤摸瓜我们可以发现其移除session的代码如下所示。

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
@override
public void remove(session session, boolean update) {
//检查是否需要将统计过期的session的信息
if (update) {
 long timenow = system.currenttimemillis();
 int timealive =
 (int) (timenow - session.getcreationtimeinternal())/1000;
 updatesessionmaxalivetime(timealive);
 expiredsessions.incrementandget();
 sessiontiming timing = new sessiontiming(timenow, timealive);
 synchronized (sessionexpirationtiming) {
 sessionexpirationtiming.add(timing);
 sessionexpirationtiming.poll();
 }
}
//将session从map中移除
if (session.getidinternal() != null) {
 sessions.remove(session.getidinternal());
}
}

被销毁的时机

主动销毁

我们可以通过调用 httpsession.invalidate() 方法来执行session销毁操作。此方法最终调用的是 standardsession.invalidate() 方法,其代码如下,可以看出使 session 销毁的关键方法是 standardsession.expire()

?
1
2
3
4
5
6
7
8
9
public void invalidate() {
 
if (!isvalidinternal())
 throw new illegalstateexception
 (sm.getstring("standardsession.invalidate.ise"));
 
// cause this session to expire
expire();
}

expire 方法的代码如下

?
1
2
3
4
5
6
7
8
9
10
11
12
13
@override
public void expire() {
 
expire(true);
 
}
public void expire(boolean notify) {
 //省略代码
 //将session从concurrenthashmap中移除
 manager.remove(this, true);
 //被省略的代码主要是将session被销毁的消息通知
 //到各个监听器上
}

超时销毁

除了主动销毁之外,我们可以为session设置一个过期时间,当时间到达之后session会被后台线程主动销毁。我们可以为session设置一个比较短的过期时间,然后通过 jconsole 来追踪其调用栈,其是哪个对象哪个线程执行了销毁操作。

如下图所示,我们为session设置了一个30秒的超时时间。

Tomcat 是如何管理Session的方法示例

然后我们在 managerbase.remove

方法上打上断点,等待30秒之后,如下图所示

Tomcat 是如何管理Session的方法示例

tomcat会开启一个后台线程,来定期执行子组件的 backgroundprocess 方法(前提是子组件被tomcat管理且实现了 manager接口)

?
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
@override
public void backgroundprocess() {
count = (count + 1) % processexpiresfrequency;
if (count == 0)
 processexpires();
}
 
public void processexpires() {
 
long timenow = system.currenttimemillis();
session sessions[] = findsessions();
int expirehere = 0 ;
 
if(log.isdebugenabled())
 log.debug("start expire sessions " + getname() + " at " + timenow + " sessioncount " + sessions.length);
//从jconsole的图中可以看出isvalid可能导致expire方法被调用
for (int i = 0; i < sessions.length; i++) {
 if (sessions[i]!=null && !sessions[i].isvalid()) {
 expirehere++;
 }
}
long timeend = system.currenttimemillis();
if(log.isdebugenabled())
 log.debug("end expire sessions " + getname() + " processingtime " + (timeend - timenow) + " expired sessions: " + expirehere);
processingtime += ( timeend - timenow );
 
}

我们可以来看看接口中 manager.backgroundprocess 中注释,简略翻译一下就是 backgroundprocess 会被容器定期的执行,可以用来执行session清理任务等。

?
1
2
3
4
5
6
/**
* this method will be invoked by the context/container on a periodic
* basis and allows the manager to implement
* a method that executes periodic tasks, such as expiring sessions etc.
*/
public void backgroundprocess();

总结

session的数据结构如下图所示,简单来说就是用 concurrenthashmap 来保存 session ,而 session 则用 concurrenthashmap 来保存键值对,其结构如下图所示。 .jpg

Tomcat 是如何管理Session的方法示例

这意味着,不要拼命的往session里面添加离散的数据, 把离散的数据封装成一个对象性能会更加好 如下所示

?
1
2
3
4
5
//bad
httpsession.setattribute("user","kesan");
httpsession.setattribute("nickname","点赞");
httpsession.setattribute("sex","男");
....
?
1
2
3
//good
user kesan = userdao.getuser()
httpsession.setattribute("user", kesan);

如果你为session配置了监听器,那么对session执行任何变更都将直接在当前线程执行监听器的方法, 因此最好不要在监听器中执行可能会发生阻塞的方法

tomcat会开启一个后台线程来定期执行 managerbase.backgroundprocess 方法用来检测过期的session并将其销毁。

思想迁移

对象生成速率算法此算法设计比较有趣,并且也可以应用到其他项目中,因此做如下总结。

首先生成一个固定大小的链表(比如说100),然后以null元素填充。 当创建新的对象时,将创建时间加入链表末尾中(当然是封装后的对象),然后将链表头节点移除,此时被移除的对象要么是null节点要么是最早加入链表的节点 当要计算对象生成速率时,统计链表中不为null的元素的数量除以当前的时间与最早创建对象的时间的差,便可以得出其速率。(注意时间单位的转换)

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持服务器之家。

原文链接:https://juejin.im/post/5dbfe35cf265da4d4a3067ae

延伸 · 阅读

精彩推荐