樣。今天我們就從Session的創建、Session的清理以及Session的通知這幾個方面來了解Tomcat的Session管理機制。SessionTomcatContextManagerSession。默認實現類為StandardManager。下面我們通過它的接口來了解一下StandardManager的功能：publicinterfaceManagerpublicContextpublicvoidsetContext(ContextpublicSessionIdGeneratorpublicvoidsetSessionIdGenerator(SessionIdGeneratorpubliclongpublicvoidsetSessionCounter(longpublicintpublicvoidsetMaxActive(intpublicintpubliclongpublicvoidsetExpiredSessions(longpublicintpublicintpublicvoidsetSessionMaxAliveTime(intpublicintgetSessiopublicintgetSessionCreapublicintpublicvoidadd(SessionpublicvoidchangeSessionId(SessionpublicvoidchangeSessionId(Sessionsession,StringpublicSessionpublicSessioncreateSession(StringpublicSessionfindSession(Stringid)throwspublicSession[]publicvoidload()throwsClassNotFoundException,publicvoidremove(Sessionpublicvoidremove(Sessionsession,booleanpublicvoidaddPropertyChangeListener(PropertyChangeListenerpublicvoidremovePropertyChangeListener(PropertyChangeListenerpublicvoidunload()throwspublicvoidpublicbooleanwillAttributeDistribute(Stringname,Object34Sessionloadunload法，它們的作用是分別是將Session持久化到介質和從介質加載Session。當我們調用HttpServletRequest.getSession(true)時，這個參數true的意思Session，TomcatHttpServletRequest，Tomcatorg.apach但這并不是我們拿到的Request，Tomcat為了避免把一些實現細節出來，還有基于RequestRequestFacade，我們可以通過代碼來理1publicclassRequestimplementsHttpServletRequestpublicclassRequestFacadeimplementsHttpServletRequestprotectedRequestrequest=3publicHttpSessiongetSession(booleancreate)return 7因此我們拿到的Request類其實是RequestFacade，RequestFacade的getSession方法調用的是Request類的getSession方法，我們繼續來看SessionContextcontext=if(context==null)return45Managermanager=if(manager==null)return9session=從上面的代碼可以看出，RequestContextContextSession管理器Manager，這樣通過Context組件就能拿到Manager組件，最后由Manager組件來創建Session。StandardManager，StandardManagerManagerBase，這個createSession方法定義在ManagerBase中，StandardManager直接重用這個方ManagerBase的createSessionpublicSessioncreateSession(StringsessionId)//首先判斷Session數量是不是到了最大值，最大Sessionif((maxActiveSessions>=0)(getActiveSessions()>=maxActiveSessions))thrownewTooManyActiveSession //重用或者創建一個新的Session對象，請注意在Tomcat中就是//它是HttpSession的具體實現類，而HttpSession是ServletSessionsession=//初始化新Sessionsession.setMaxInactiveInterval(getContext().getSessionTimeout()*Stringid=if(id==null)id= session.setId(id);//這里會將Session添加到ConcurrentHashMap //將創建時間添加到LinkedList //主要還是方便清理過期 SessionTimingtiming=newSessionTiming(session.getCreationTime(), synchronized(sessionCreationTiming) return371protectedMap<String,Session>sessions=new請注意Session的具體實現類是tandardession，Sanardession同時實現了javax.ervlethttp.HtpSession和org.apche.caalina.ession接口，并且對程序員的是tandardessionFaae外觀類，保證了tandardession的安全，避免了程序員調用其內部方法進行不當操作。Stanaression的成員變量如下：publicclassStandardSessionimplementsHttpSession,Session,SerializableprotectedConcurrentMap<String,Object>attributes=newprotectedlongcreationTime=protectedtransientvolatilebooleanexpiring=protectedtransientStandardSessionFacadefacade=protectedStringid=protectedvolatilelonglastAccessedTime=protectedtransientArrayList<SessionListener>listeners=newprotectedtransientManagermanager=protectedvolatileintmaxInactiveInterval=-protectedvolatilebooleanisNew=protectedvolatilebooleanisValid=protectedtransientMap<String,Object>notes=newprotectedtransientPrincipalprincipal=15Session我們再來看看Tomat是如何清理過期的Session。在Tomcat熱加載和熱部署的文章里，我講到容器組件會開啟一個ConaierBackrondProcessor線程，調用自己以及子容器的akgrounProess進行一些邏輯的處理，和Lifecye一樣，這個動作也是具有傳遞性的，也就是說子容器還會把這個動作傳遞給自己的子容器。你可以參考下圖來理解這個過程。其中父容器會遍歷所有的子容器并調用其backgroundProcess方法，而StandardContextStandardManagerbackgroundProcessSessionStandardManagerbackgroundProcesspublicvoidbackgroundProcess()// piresFrequency默認值為6，而backgroundProcess默認每隔10scount=(count+1)%procesif(count==0)//默認每隔60s執行一次Session678*單線程處理，不存程安全問publicvoid pires()//獲取所有的Sessionsessions[]=intexpireHere=0for(inti=0;i<sessions.length;i++)//Session的過期是在isValid()22

if(sessions[i]!=null&&{}}backgroundProcess由Tomcat線程調用，默認是每隔10秒調用一次，但是SessionSessionCPUbackgroundProcess方法中做了取模處理，backgroundProcess6Session清理，也就是說Session清理每60秒執行一次。Session通按照Servlet規范，在Session的生命周期過程中，要將通知者，Servlet規范定義了Session的器接口：publicinterfaceHttpSessionListenerextendsEventListener//SessionpublicdefaultvoidsessionCreated(HttpSessionEventse)}5//SessionpublicdefaultvoidsessionDestroyed(HttpSessionEventse)}9注意到這兩個方法的參數都是HttpSessionEvent，所以Tomcat需要先創建HttpSessionEvent對象，然后遍歷Context內部的LifecycleListener，并且判斷是否為HttpSessionListenerHttpSessionListenersessionCreated方法進行通知。這些事情都是在Session的setId方法中完成的：2publicvoidsetId(Stringid,booleannotify)//如果這個id已經存在，先從Managerif((this.id!=null)&&(manager!=789this.id=//添加新的if(manager!=//這里面完成了if(notify)19}從代碼我們看到setId方法調用 lNew方法， publicvoidlNew()2//通知fireSessionEvent(Session.SESSION_CREATED_EVENT,5//獲取Context內部的LifecycleListener并判斷是否為Contextcontext=Objectlisteners[]=if(listeners!=null&&listeners.length>0)//創建HttpSessionEventevent=newfor(inti=0;i<listeners.length;i++)//判斷是否是if(!(listeners[i]instanceofHttpSessionListenerlistener=(HttpSessionListener)//context.fireContainerEvent("beforeSessionCreated",//觸發SessionCreated//context.fireContainerEvent(