Pourquoi getSession () ne retourne-t-il pas la même session lors de requêtes ultérieures dans de courtes périodes?

J'envoie une demande $.getJSON (HTTP GET) deux fois (avec des données différentes), l'une après l'autre (disons que nous avons request1 et request2). Je peux voir dans les outils de développement de FF et de Chrome que j'ai le même champ d'en-tête cookie:JSESSIONID=FD0D502635EEB67E3D36203E26CBB59A.

Du côté du serveur, j'essaie d'obtenir la session:

HttpSession session = request.getSession();
boolean isSessionNew = session.isNew();
String sessionId = session.getId();
String cookieFromRequestHeader = request.getHeader("cookie");

Si j'imprime ces variables pour les deux demandes que je reçois,
request1:

isSessionNew: true
cookieFromRequestHeader: JSESSIONID = FD0D502635EEB67E3D36203E26CBB59A
session.getId (): 9212B14094AB92D0F7F10EE21F593E52

request2:

isSessionNew: true
cookieFromRequestHeader: JSESSIONID = FD0D502635EEB67E3D36203E26CBB59A
session.getId (): E8734E413FA3D3FEBD4E38A7BF27BA58

Comme vous pouvez le constater, le serveur a clairement créé une nouvelle session pour request2 sur request.getSession(). Mais pourquoi fait-il cela? Il devrait théoriquement être synchronisé et vous donner la même session que celle créée par la première demande (qui a atteint ce code en premier). Maintenant, pour être sûr que la création de session est synchronisée, j'ai fait ce qui suit:

@Autowired
private ServletContext servletContext;
...
synchronized (servletContext) {
    HttpSession session = request.getSession();
    boolean isSessionNew = session.isNew();
    String sessionId = session.getId();
    String cookieFromRequestHeader = request.getHeader("cookie");
}

et j'ai eu les mêmes résultats.

Si j'envoie les mêmes demandes plus tard encore (disons request1 'et request2'), je reçois,
request1 ':

isSessionNew: false
cookieFromRequestHeader: JSESSIONID = E8734E413FA3D3FEBD4E38A7BF27BA58 session.getId (): E8734E413FA3D3FEBD4E38A7BF27BA58

request2 ':

isSessionNew: false
cookieFromRequestHeader: JSESSIONID = E8734E413FA3D3FEBD4E38A7BF27BA58
session.getId (): E8734E413FA3D3FEBD4E38A7BF27BA58

Si vous voyez maintenant de près, l'identifiant de session est le même (dans request1 'et request2') et est le dernier créé à partir de request2. Existe-t-il un moyen d’obtenir la même session à partir de plusieurs demandes ultérieures qui parviennent au serveur dans des délais très brefs?

Je n'utilise aucune fonctionnalité particulière - j'utilise la stratégie de session standard de Spring. De plus, il semble que le cookie JSESSIONID des 2 premières demandes (request1 et request2) proviennent de la première fois que je visite la page (disons qu'une requête0 a été envoyée au serveur lors de la création de ce JSESSIONID). Mais il semble également que, sauf si vous appelez explicitement request.getSession (), le serveur/serveur crée toujours un nouveau JSESSIONID pour chaque réponse et le renvoie au client. Ainsi, lorsqu'une nouvelle demande est envoyée par le client après une réponse, un nouveau JSESSIONID lui sera attribué. Il semble que la gestion des sessions Spring out of the Box ne fonctionne pas correctement.

Sincères amitiés,
despote

RECHERCHE ADDITIONNELLE :

Je voulais voir si je pouvais enregistrer la création de session avec un HttpSessionListner. Ainsi, je peux voir quand la session portant l'ID FD0D502635EEB67E3D36203E26CBB59A (le cookie en cours d'envoi dans request1 et request2) est créée. Et aussi, si vous utilisez l'écouteur (le SessionProcessor), je peux stocker les sessions sur une carte par identifiant et les récupérer ultérieurement par l'identifiant du cookie (je n'ai donc pas besoin de créer une autre session).
Alors voici le code:

public interface ISessionProcessor extends ISessionRetriever, ISessionPopulator {
}

public interface ISessionRetriever {

    HttpSession getSession(String sessionId);
}

public interface ISessionPopulator {

    HttpSession setSession(String sessionId, HttpSession session);
}

La raison de cette séparation était que je voulais seulement permettre à l’auditeur d’ajouter des sessions à la carte, et aux contrôleurs de ne pouvoir créer une session que via request.getSession (). La méthode sessionCreated du listner était donc toujours invoquée (comme voir ci-dessous).

public class SessionProcessor implements ISessionProcessor {

    private Map<String, HttpSession> sessions = new HashMap<String, HttpSession>();

    @Override
    public HttpSession getSession(String sessionId) {
            return sessions.get(sessionId);
    }

    @Override
    public HttpSession setSession(String sessionId, HttpSession session) {
            return sessions.put(sessionId, session);
    }

}

public class SessionRetrieverHttpSessionListener implements HttpSessionListener {

    private static final Logger LOGGER = LoggerFactory.getLogger(SessionRetrieverHttpSessionListener.class);

    @Autowired
    private ISessionPopulator sessionPopulator;

    @Override
    public void sessionCreated(HttpSessionEvent se) {
            HttpSession session = se.getSession();
            LOGGER.debug("Session with id {} created. MaxInactiveInterval: {} session:{}", new Object[]{session.getId(), session.getMaxInactiveInterval(), session});
            sessionPopulator.setSession(session.getId(), session);
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
            HttpSession session = se.getSession();
            // session has been invalidated and all session data (except Id) is no longer available
            LOGGER.debug("Session with id {} destroyed. MaxInactiveInterval: {}, LastAccessedTime: {}, session:{}", 
                            new Object[]{session.getId(), session.getMaxInactiveInterval(), session.getLastAccessedTime(), session});
    }
}  

dans web.xml: org.springframework.web.context.ContextLoaderListener

<servlet>
    <servlet-name>appServlet</servlet-name>
    <servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
    <init-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/my-servlet-context.xml</param-value>
    </init-param>
    <load-on-startup>1</load-on-startup>
</servlet>

<listener>
    <listener-class>mypackage.listener.SessionRetrieverHttpSessionListener</listener-class>
</listener>

<servlet-mapping>
    <servlet-name>appServlet</servlet-name>
    <url-pattern>/*</url-pattern>
</servlet-mapping>

dans my-servlet-context.xml:

<bean class="mypackage.listener.SessionProcessor"/>
<bean class="mypackage.SomeController"/>

dans mon contrôleur:

                    synchronized (servletContext) {
                            String cookieFromRequestHeader = request.getHeader("cookie");
                            LOG.debug("cookieFromRequestHeader:{}", new Object[] {cookieFromRequestHeader});
                            String jsessionIdFromCookieFromRequestHeader = cookieFromRequestHeader.substring(cookieFromRequestHeader.indexOf("=") + 1);
                            LOG.debug("jsessionIdFromCookieFromRequestHeader:{}", new Object[] {jsessionIdFromCookieFromRequestHeader});
                            session = sessionRetriever.getSession(jsessionIdFromCookieFromRequestHeader);
                            LOG.debug("session:{}", new Object[] {session});
                            if (session == null) {
                            LOG.debug("request.isRequestedSessionIdFromCookie():{}, request.isRequestedSessionIdFromURL():{}, WebUtils.getSessionId(request):{}.", new Object[] {request.isRequestedSessionIdFromCookie(), request.isRequestedSessionIdFromURL(), WebUtils.getSessionId(request)});
                            session = request.getSession();
                            boolean isSessionNew = session.isNew();
                            LOG.debug("Is session new? - {}. The session should not be new after the first fingerprint part is received - check if this occured in the logs - if that happend than there is an error!", isSessionNew);
                            LOG.debug("request.isRequestedSessionIdFromCookie():{}, request.isRequestedSessionIdFromURL():{}, WebUtils.getSessionId(request):{}.", new Object[] {request.isRequestedSessionIdFromCookie(), request.isRequestedSessionIdFromURL(), WebUtils.getSessionId(request)});
                            //read https://stackoverflow.com/a/2066883 and think about using ServletContextAware also.
                            LOG.debug("cookieFromRequestHeader:{} session.getId(): {}", new Object[]{cookieFromRequestHeader, session.getId()});
                            }
                    }

Cela m'a donné les mêmes résultats. Il est apparu que la création de session par un moyen autre que request.getSession (lorsque spring a créé la session) a été soit non enregistrée par l'auditeur, soit le cookie/jsessionID est venu ailleurs. Regardez la réponse pour plus.

Autres sources qui m'ont aidé à résoudre les problèmes de HttpSession:
injection de contexte de servlet dans le contrôleur
aperçu de la concurrence lorsque vous devez travailler avec HttpSession
utilisation de l'objet HttpSession pour effectuer la synchronisation (éviter ceci)
le "meilleur" moyen de synchronisation lors de l'utilisation de HttpSession
Quelques références de printemps:
gestion de session
gestion de session en sécurité
discussions sur la façon d’obtenir une session lorsque vous avez une sessionId (ce que j’ai fait ci-dessus):
discussion coderanch
stackoverflow
le message qui m'a aidé à finaliser le transfert automatique de mon auditeur