Discussion :

[Aymeeeric]

Bonjour à tous.
Je vous explique mon problème :

Je dois réaliser une application de connexion d'un utilisateur via ID/MDP.
Jusque la rien de complexe.
Cela dit, une fois connecté, je stock dans un bean divers attributs sur l'utilisateur, puis ferme la fenêtre et le dirige sur une page d'une autre application (pas sur le même serveur).

Ma question est la suivante :

Si l'utilisateur relance ma page de connexion, comment retrouver sa session, et donc le bean qu'elle contient (sachant que la durée de vie de la session est fixée à une journée) ?

J'ai tester environ 200 méthodes, et rien ne fonctionne...
Je peux bel et bien récupérer sa session si le navigateur n'est pas fermé (en stockant dans le servletContext des attributs (httpsession/idsession) et en les récupérant grâce au Cookie JSESSIONID, mais une fois la fenêtre fermée, bien que je récupère le cookie, la session n'existe plus !


J'ai vraiment besoin d'un coup de main sur ce coup la...
Auriez-vous une méthode fonctionnelle ?

Merci d'avance.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
 
 //HTTP Post
    public void doPost(HttpServletRequest request, HttpServletResponse response)
    throws ServletException, IOException
    {
 
    	HttpSession laSession = null;
    	String identifiant = null;
 
    	Cookie[] cookies = request.getCookies();
 
    	if (null != cookies)
    	{
	    	for (int i = 0; i < cookies.length; i++)
	    	{
		    	Cookie c = cookies[i];
		    	String name = c.getName();
		    	String value = c.getValue();
 
		    	if(name.equals("sessionId"))
		    	{
		    		identifiant = value;
		    	}
 
	    	}
    	}
 
 
    	if (identifiant!=null)
    	{
    		laSession = getSession(identifiant);
    		if (laSession == null)
    		{
    			laSession = request.getSession(true);
        		Cookie c = new Cookie("sessionId",laSession.getId());
        		response.addCookie(c);
 
        		System.out.println("Cokkie trouvé, mais session créé : " + laSession.getId());
 
    		}
    		else
    		{
    			System.out.println("Session retrouvée : " + identifiant);
    		}
 
    	}
    	else
    	{
    		laSession = request.getSession(true);
    		Cookie c = new Cookie("sessionId",laSession.getId());
    		response.addCookie(c);
 
    		System.out.println("Session créée : " + laSession.getId());
    	}
 
    }
 
    private HttpSession getSession(final String sessionId)
    {
        final ServletContext context = getServletContext();
        System.out.println();
        final HttpSession session = (HttpSession) context.getAttribute(sessionId);
        return session;
    }

[Lorantus]

Partant sur le postulat que tu as une session d'une durée de vie de 24H...
Le navigateur ? Il efface pas les cookies à sa fermeture ?
Normalement, tu n'as pas besoin de récupérer la session à l'aide de JSESSIONID, request.getSession(...) devrait suffir.

[Aymeeeric]

Et bien c'est ce qu'il me semblait, mais non, je ne récupère jamais la même session, pourtant le cookie oui...

Peut être le configuration de Websphère, mais pour moi, l'appli est d'une simplicité telle, que tout devrais fonctionner...

Sinon on m'a parlé de :

" Pourquoi ne pas te créer un cache pour conserver les sessions ? Couplé à un TimerTask pour épurer les données présentes depuis longtemps et les mettre sur le disque ? "

Une idée ?

[tchize_]

Les cookies envoyés par le serveur sont normalement supprimés par le navigateur à la fermeture (ils ont une durée de vie de type session). En effet, en général, Si le gars ferme sa page dans une cybercafé, t'as pas envie que le suivant qui passer par là récupère sa session .

Maintenant, il me semble que websphere a une option de config pour choisir la durée de vie de ce cookie (jusqu'à fermeture du navigateur ou jusqu'à expiration).

[Aymeeeric]

En effet, il est possible de paramétrer la durée de vie du JSESSIONID dans websphère, cela dit, rien y fait...
Sa récupération se passe sans problèmes aucun, mais une fois le navigateur fermé, je ne retrouve plus la session correspondante à sa valeur (ni avec un simple getSession, ni en cherchant les sessions stockées dans mon ServletContext)...

je tiens à préciser que j'au un listener sur la création / destruction de session, et que c'est celui-ci qui me permet de les stocker dans le ServletContext :

(A ce propos, la durée de vie du servletContext est de l'ordre de la session ou de l'application ?)

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
public class Listener implements HttpSessionListener
{
 
	public void sessionCreated(final HttpSessionEvent se)
	{
        final HttpSession session = se.getSession();
        final ServletContext context = session.getServletContext();
        context.setAttribute(session.getId(), session);
        System.out.println("session created : " + session.getId());
    }
 
    public void sessionDestroyed(final HttpSessionEvent se)
    {
    	System.out.println("session destroyed : " + se.getSession().getId());
        //final HttpSession session = se.getSession();
        //final ServletContext context = session.getServletContext();
        //context.removeAttribute(session.getId());
    }
 
}

[tchize_]

Ni l'un ni l'autre, c'est la durée de vie de la servlet. Souvent elle coincide avec la durée de vie de l'application, mais ce n'est pas une obligation. De plus, en cas de multiples serveur avec load balancing, chaque serveur à son propre contexte.

Quand vous ouvrez le navigateur : les cookies y sont toujours? Le navigateur n'est-il pas configuré, comme beaucoup, pour effacer tous ses cookies à la fermeture?

[Aymeeeric]

Et bien oui, lorsque je me connecte, le cookie est bel et bien présent, puisque je le retrouve, lui et sa valeur correspondant à l'identifiant de la session précédemment créée avant fermeture du navigateur !

[tchize_]

et tu passe quand dans ces opération à travers sessionDestroyed ? Autrement dit, quand la session est-elle détruite?

[Aymeeeric]

La session est bien détruite au bout du temps impartis, autrement dit, je n'y passe pas entre la fermeture et réouverture du navigateur...

[tchize_]

Et votre deuxième service par lequel Vous passez, il ne génèrerait pas sont propre JESESSIONID avec le même hôte et le même chemin que votre premier? Donc la deuxième session écraserait la première du coté navigateur ?

[Aymeeeric]

Merci de votre soutien,
j'ai bien vérifié, et non, mon deuxième service ne l'écrase pas au sens ou... je ne l'utilise pas encore !

Je ré-ouvre systématiquement la même page !
De plus, pour être sur, je stock (comme vous pouvez le voir dans le code) le sessionId dans un cokkie créé par moi même...

C'est vraiment du coté java que la session est introuvable...

[tchize_]

votre recherche à la main est dangereuse Toutes les api en interne ne passeront pas par là et utiliseront leur propre appel à getSession() (sans argument). Ce qui compte c'est de savoir si le cookie JESSSIONID généré et le seul traité par le conteneur J2EE est bien récupéré à la réouvertur du navigateur.

[Aymeeeric]

Certes, mais en admettant que ma Servlet en entrée en celle qui recherche la session, sans appel à un getSession au préalable, il ne devrait pas en avoir eu de nouvelles créés...
Et ppuis, le fond du problème reste le fait que je ne puisse pas retrouvé ma session avec un simple .getSession (c'est pourquoi j'en suis arrivé à une gestion manuelle)...

Cela reste totalement incompréhensible pour moi...
De plus ma recherche manuelle fonctionne parfaitement tant que le navigateur reste ouvert... Pourquoi la session est introuvable une fois celui-ci fermé ?

[tchize_]

j'aimerais savoir quand vous dite que le cookie est bien là à la réouverture du navigateur, vous parlez du cookies JSESSIONID associé à votre serveur et votre path, ou vous parlez du cookie "sessionId" que vous gérez vous même ?? Parce que seul JSESSIONID importe pour le serveur.

Pourriez vous afficher ceci avant de fermer votre navigateur et après l'avoir rouvert?

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
for (Cookie c: request.getCookies())
   System.out.printf("Got cookie %s with value %s, domain %s and path %s\n",c.getName(),c.getValue(), c.getdomain(), c.getPath());

[lunatix]

la facon de créer un cookie

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
Cookie c = new Cookie("sessionId",laSession.getId());
        		response.addCookie(c);

sans spécifier de durée, ca implique un cookie de session. donc qui va disparaître a la fermeture du navigateur. (comme le jsessionID standard de l'api java)
faudrait ajouter

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

c.setMaxAge(X sesondes)

si tu veux qu'il ait une chance de survivre a la fermeture du navigateur

[Aymeeeric]

Il me semble bien que dans un cas comme dans l'autre je les récupérais...
J'ai utilisé un autre cookie uniquement pour palier au fait que le serveur puisse en généré un autre par lui même...

Voici le code et son résultat :

(Servlet d'entrée du programme, rien d'autre n'est appelé) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
 
    	HttpSession session = request.getSession();
 
    	if(request.getCookies()!=null)
    	{
	    	for (Cookie c: request.getCookies())
	    	{
			   System.out.printf("Got cookie %s with value %s, domain %s and path %s\n",c.getName(),c.getValue(), c.getDomain(), c.getPath());
	    	}
    	}
    	else
    	{
    		System.out.println("Aucun cookie...");
    	}

Et le rendu :
(deux exécution d'affilé avec un cache propre) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
[17/06/11 15:11:33:725 CEST] 0000002f ServletWrappe I   SRVE0242I: [loginCRCEAR] [/loginCRC] [Session] : L'initialisation a abouti.
[17/06/11 15:11:33:741 CEST] 0000002f SystemOut     O session created : KIokt_RUgiXph3WYSG7xbyH
[17/06/11 15:11:33:741 CEST] 0000002f SystemOut     O Aucun cookie...
[17/06/11 15:11:37:662 CEST] 0000002f SystemOut     O Got cookie JSESSIONID with value 0000KIokt_RUgiXph3WYSG7xbyH:-1, domain null and path null

Après fermeture et réouverture du navigateur :
(config par défault de websphere, donc JSESSIONID est tué à la fermeture du navigateur) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
session created : IsaAw9HePhll2DtTnDHH1Uw
[17/06/11 15:13:48:749 CEST] 0000002c SystemOut     O Aucun cookie...

Après fermeture et réouverture du navigateur :
(JSESSIONID configuré pour une durée de vie d'une heure) :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
 
session created : cTorDl7HypRJ5ssdgZRKf__
[17/06/11 15:17:42:110 CEST] 00000020 SystemOut     O Aucun cookie...

Il semblerait que vous ayez raison, et que le JSESSIONID est systématiquement supprimé, ou alors la config websphère n'est pas prise en compte..



En ajoutant un maxAge manuellement au JSESSIONID :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
HttpSession session = request.getSession();
 
    	if(request.getCookies()!=null)
    	{
	    	for (Cookie c: request.getCookies())
	    	{
			   System.out.printf("Got cookie %s with value %s, domain %s and path %s\n",c.getName(),c.getValue(), c.getDomain(), c.getPath());
			   c.setMaxAge(3600);
			   response.addCookie(c);
	    	}
    	}
    	else
    	{
    		System.out.println("Aucun cookie...");
    	}

Après ouverture du navigateur je le retrouve bien :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
 
Got cookie JSESSIONID with value 0000RK70uNDd83VDS1UjSCdfiVB:-1, domain null and path null

[Aymeeeric]

Aussi, avec uniquement le request.getsession() par défault (sans ma recherche "manuelle"), et une fois le maxAge du JSESSIONID défini manuellement :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
 
    	HttpSession session = request.getSession();
 
 
    	if(request.getCookies()!=null)
    	{
	    	for (Cookie c: request.getCookies())
	    	{
			   System.out.printf("Got cookie %s with value %s, domain %s and path %s\n",c.getName(),c.getValue(), c.getDomain(), c.getPath());
			   System.out.println();
			   c.setMaxAge(3600);
			   response.addCookie(c);
	    	}
    	}
    	else
    	{
    		System.out.println("Aucun cookie...");
    	}
 
 
    	System.out.println("Identifiant de session : " + session.getId());

Je retrouve bel et bien ma session :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
 
[17/06/11 15:31:18:688 CEST] 00000020 SystemOut     O session created : j_SiEm64I7XsIrtCzM2uiMd
[17/06/11 15:31:18:688 CEST] 00000020 SystemOut     O Aucun cookie...
[17/06/11 15:31:18:688 CEST] 00000020 SystemOut     O Identifiant de session : j_SiEm64I7XsIrtCzM2uiMd
[17/06/11 15:31:24:250 CEST] 00000020 SystemOut     O Got cookie JSESSIONID with value 0000j_SiEm64I7XsIrtCzM2uiMd:-1, domain null and path null
[17/06/11 15:31:24:250 CEST] 00000020 SystemOut     O Identifiant de session : j_SiEm64I7XsIrtCzM2uiMd

En espérant que je retrouve bien mes bean, une fois la session retrouvée, mais cela devrait-être le cas non ?


En tout cas merci pour votre aide, il est vrai que je suis allé cherché bien trop loin la solution d'un problème somme toute très simple...
Merci de m'avoir tout fait revoir, et donc comprendre le problème !

[tchize_]

En espérant que je retrouve bien mes bean, une fois la session retrouvée, mais cela devrait-être le cas non ?

Essayez quand même de voir pourquoi le maxAge n'est pas défini dans websphere, ce serait plus simple que cette bidouille.
Aussi, ne redéfinissez maxAge que sur le JSESSIONID.

[Aymeeeric]

Disons que pour l'instant la bidouille fonctionne, je m'attarderais au problème Websphère un peu plus tard...

et j'ai bien pensé à définir le maxAge uniquement sur le bon Cookie !

Merci pour tout !

[lunatix]

a mon avis : le max age n'a rien a voir avec le temps de vie du jsessionID

le jsessionID est toujours toujours toujours purgé a la fermeture du navigateur

le maxAge concerne la durée de la session utilisateur sans activité

pour avoir une session persistante a la fermeture : tu n'as pas d'autre choix que d'implementer ca toi meme. (plutot logique, c'est quand meme super pas secure)