jetty – 使用HTTP会话配对cometd会话

我们有一个使用Jetty 8.1,dojo和cometd的Web应用程序,它使用(1) JSON / HTTP REST API进行同步操作和(2)cometd API从服务器接收大量事件,在浏览器和Web容器之间进行交互.

我们还不完全清楚的是如何优雅地管理这两种不同API的认证会话,特别是因为我们将尽可能使用websocket而不是常规HTTP.该应用程序使用标准Jetty LDAP模块使用基于表单的身份验证.因此,从HTTP角度来看,容器为浏览器提供了标准的jsessionid,如下所示:

Cookie: jsessionid=758E2FAD7C199D722DA8B5E243E0E27D

基于Simone Bordet的here后,似乎推荐的解决方案是在cometd握手期间传递此令牌,这正是我们正在做的事情.

我们遇到的问题是有两个根本不同的会话 – HTTP会话和Bayeux cometd会话.由于潜在的内存泄漏和安全问题等原因,我们希望它们一致终止或“配对”.如果用户的HTTP会话终止,我们希望相应的Bayeux会话也终止,反之亦然.有推荐的方法吗?

HTTP会话和CometD会话具有不同的生命周期:例如,如果存在临时连接失败,则CometD会话将失败,并且服务器将要求客户端重新握手,从而创建不同的CometD会话(表示相同的用户,但使用不同的CometD clientId).在同样的情况下,HttpSession将保持不变.

考虑到这一点,您需要在应用程序级别维护用户名,通信者HttpSession和对应的ServerSession之间的映射.
我们称这个映射为HttpCometDMapper.
每次新用户登录时,都会注册其名称(或用户的另一个唯一标识符),HttpSession和当前的ServerSession.
可能您需要一个两步过程,首先链接用户名和HttpSession,然后使用ServerSession链接相同的用户名.

如果执行CometD重新握手,则使用新的ServerSession更新映射器.

您可以通过向HttpSession注册HttpSessionListener来链接这两个会话,这样当它被销毁时,您将从映射器中检索当前的CometD ServerSession并在其上调用ServerSession.disconnect().

反之亦然有点棘手,因为CometD没有像HttpSession那样的非活动超时概念.必须使用您自己的逻辑在应用程序中实现它.

这样做的一部分是在ServerSession上注册一个RemoveListener,如下所示:

serverSession.addListener(new ServerSession.RemoveListener() 
{
    public void removed(ServerSession session, boolean timeout);
    {
        if (!timeout)
        {
            // Explicitly disconnected, invalidate the HttpSession
            httpCometDMapper.invalidate(session);
        }
    }
});

此监听器监视与客户端(以及服务器 – 显示可重入)的显式断开连接.

稍微更困难的是为非显式断开连接实现相同的机制.在这种情况下,timeout参数将为true,但可能由于临时网络故障而发生(与客户端正常消失相反),并且同一用户可能已经与新的ServerSession重新握手.

我认为在这种情况下,应用程序超时可以解决问题:当您看到因超时而删除ServerSession时,您会注意到该用户并启动应用程序超时.如果同一用户重新握手,则取消应用程序超时;否则用户真的不见了,应用程序超时到期,你也使HttpSession无效.

以上只是想法和建议;实际的实现在很大程度上取决于应用程序的细节(这就是为什么CometD不提供开箱即用的原因).

关键点是mapper,HttpSessionListener和RemoveListener,并了解这些组件的生命周期.
管理完成后,您可以编写正确的代码,为您的应用程序做正确的事情.

最后,请注意,CometD具有与传输无关的方式,可以通过BayeuxContext实例与HttpSession进行交互,您可以从BayeuxServer.getContext()获取.我建议你也看一下,看它是否可以简化事情,特别是对于检索存储在HttpSession中的令牌.

相关文章
相关标签/搜索