SERVLET (2/2) Maintien de l'état. Champs cachés et réécriture d'url. Cookies

Transcription

1 Maintien de l'état SERVLET (2/2) Le protocole HTTP est un protocole sans état impossibilité de garder des informations d une requête à l autre impossibilité d'identifier un client d un autre entre 2 requêtes Solutions = les champs cachés la réécriture d'urls les cookies les sessions Champs cachés et réécriture d'url Cookies Champs cachés Information dans la page HTML cachée à l'utilisateur <input type="hidden" name="secret" value="chuuuut!" /> Positionné dans la balise <form> Transmis au serveur lorsque le formulaire est soumis Note : suivre un lien hypertexte en dehors du formulaire n'envoie pas l'information au serveur Réécriture d'url Sauver l'état dans l'url Chaque URL est une requête de type "GET" URL parfois longue car elle doit contenir toute l'information liée à l'état Informations textuelles envoyées par un serveur Web à un client (navigateur). Lorsqu un client reçoit un cookie, il le stocke localement et le renvoie ensuite au serveur chaque fois qu il accède à une page sur ce serveur Paires de 'nom/valeur' échangées via les en-têtes HTTP HTTP/ OK Set-Cookie: JSESSIONID=50BAB1DB58D5F833D78D9EC1C5A10C5;Path=/myDir GET /mydir/servlet/sessionservlet HTTP/1.1 Cookie: JSESSIONID=50BAB1DB58D5F833D78D9EC1C5A10C5 Les cookies ont une durée de vie paramétrable Utilisations : Suivi de session basé sur un identifiant unique Personnalisation de l'application en fonction des choix du client 62 63

2 Cookies Cookies Limites : Ne contiennent que des chaînes de caractères Transmis à chaque requête => impact sur les performances Déconseillés pour une utilisation sécurisée car la valeur des paramètres est passée en clair dans la requête Le navigateur peut être paramétré pour les refuser La taille et le nombre des cookies sont limités par le navigateur pour des raisons de sécurité Pour les manipuler : javax.servlet.http.cookie Cookie(String name, String value) : constructeur String get/setname() : retourne/attribue le nom du cookie String get/setvalue() : retourne/attribue la valeur du cookie caractères non autorisés : espace [ ] ( ) =, " : ; setdomain(string) : assigne le nom du domaine (Généralement laissé vide car le nom du serveur est assigné par défaut) String get/setpath(string) : retourne/attribue le path où s'applique le cookie get/setmaxage() : délai restant avant expiration du cookie (en seconde) Par défaut, durée de vie d'un cookie = la connexion courante Cookies Cookies En pratique, la servlet : récupère les cookies liés à l'application dans la requête Cookie[] HttpServletRequest.getCookies() ajoute un cookie HttpServletResponse.addCookie(Cookie) modifie un cookie ajouter un cookie avec le même nom et le même path supprime un cookie Cookie.setMaxAge(0) et l'ajouter dans la réponse String sessionid = null; Cookie[] cookies = req.getcookies(); if (cookies!= null) { for (int i = 0; i < cookies.length; i++) { if (cookies[i].getname().equals("sessionid")) { sessionid = cookies[i].getvalue(); if (sessionid == null) { sessionid = new java.rmi.server.uid().tostring(); Cookie c = new Cookie("sessionid", sessionid); c.setmaxage(60 * 60 * 24 * 365); // 1 an res.addcookie(c); out.println("bonjour le nouveau"); else { out.println("encore vous"); out.flush(); out.close(); 66 67

3 Sessions Sessions Les sessions Permettent de stocker les informations des clients côté serveur et non du côté client Pallient aux limites des cookies : stockage d'objets complexes et pas de limite de taille Attention : elles ne sont pas persistantes et se terminent à la déconnexion du client! Objets de type javax.servlet.http.httpsession Obtenir une session à partir de HttpServletRequest HttpSession getsession() retourne la session associée à l utilisateur HttpSession getsession(false) la session est récupérée ou null si elle n'existait pas déjà HttpSession getsession(true) la session est récupérée ou ouverte si elle n'existait pas déjà Manipuler la session à partir de HttpSession setattribute(string, Object) création/remplacement d'un attribut Object getattribute(string) retourne un attribut par son nom removeattribute(string) supprime un attribut par son nom Enumeration getattributenames() retourne le nom de tous les attributs invalidate() invalide l ensemble de la session et libère tous les objets qui y sont associés Sessions Sessions : suivi Un compteur de visites au cours d'une même session public class SessionServlet extends HttpServlet { res.setcontenttype("text/plain"); HttpSession session = req.getsession(); Integer count = (Integer)session.getAttribute("count"); if (count == null) { count = new Integer(1); else { count = new Integer(count.intValue() + 1); session.setattribute("count", count); out.println("vous avez visité cette page " + count + " fois."); Il existe 2 moyens de gérer les sessions (transparent) : à l'aide de cookies (par défaut) à l'aide re la réécriture d'url Cookies A chaque session créée, le serveur envoie un identificateur (cookie) correspondant au client. Ensuite le client renverra ce cookie au serveur lors de sa prochaine requête permettant ainsi au serveur d'identifier le client => mais les cookies peuvent être désactivés! Réécriture des URLs Le serveur ajoute l'identificateur de session à la fin de chaque URL des pages envoyées par celui-ci Cette technique a un coût pour le serveur : il doit personnifier l'url en y incluant l'identifiant de session 70 71

4 Sessions : suivi Sessions : web.xml Réécriture des URLs 2 méthodes existent pour individualiser les URL: String HttpServletResponse.encodeRedirectURL(String) res.sendredirect(res.encoderedirecturl("/servlet/login"); String HttpServletResponse.encodeURL(String) out.println("<a HREF=\"/servlet/toto\">Go</A>"); // à remplacer par out.print("<a HREF=\"" + res.encodeurl(req.getcontextpath() + "/servlet/toto") + "\">Go</A>"); Ces méthodes réécrivent l'url uniquement si le client n'accepte pas les cookies. Dans l'autre cas l'url reste inchangée Limitations des 2 approches : pas de données volumineuses, caractères non autorisés, longueur URL, données visibles (sécurité) <session-timeout> : permet de définir la durée en minutes pendant laquelle la session d'un utilisateur reste active <web-app> <session-config> <session-timeout>30</session-timeout> </session-config> </web-app> web.xml ServletContext : Partage d'informations ServletContext : Partage d'informations Les servlets d'une même application peuvent partager des informations au moyen du contexte ( session! ) Le conteneur de servlet gère un contexte par application Le contexte peut servir à communiquer : de l'information entre servlets d'une même application (ou non) avec le conteneur de servlet (Obtenir des ressources sur le serveur, écrire dans un fichier de log) Le contexte implémente l'interface ServletContext et est accessible par getservletcontext() via HttpServlet Partage d information inter-servlets : Enumeration getattributenames() retourne l ensemble des noms de tous les attributs liés Object getattribute(string) retourne l objet sous le nom indiqué void setattribute(string, Object) lie un objet au nom indiqué void removeattribute(string) supprime l objet lié sous le nom indiqué Partage d information inter-applications Possibilité de partager des informations entre contextes web d'un même serveur Solution : la Servlet recherche un autre contexte à partir de son propre contexte ServletContext getcontext(string uri) : obtient le contexte à partir d un chemin URI (chemin absolu) Obtenir des ressources de l'application à partir du contexte courant Set getresourcepaths(string) : Liste des chemins à partir d'un chemin ("/META-INF/", "/WEB-INF/", etc.) String getrealpath(string) : obtenir le chemin absolu à partir d'un chemin relatif de l'application URL getresource(string) InputStream getresourceasstream(string) 74 75

5 ServletContext : Gestion des traces ServletContext : web.xml Produire des logs dans Tomcat (<tomcat>/logs/): void log(string) void log(string, Throwable) public void doget(){ getservletcontext().log("a message"); try { // catch (Exception e) { getservletcontext().log("an exception occurred", e); Servlet :12:54 A message :12:54 An exception occurred java.io.ioexception at com.master2.myservlet.doget(unknown Source) at javax.servlet.http.httpservlet.service(httpservlet.java:740) at javax.servlet.http.httpservlet.service(httpservlet.java:853) Tomcat 76 Des informations de contexte peuvent être définies dans le descripteur web.xml Ces informations sont accessibles par toutes les servlets de l'application web String ServletContext.getInitParameter(String) <web-app> <context-param> <param-name>annee</param-name> <param-value>2007</param-value> <description>une description </description> </context-param> </web-app> web.xml 77 Collaboration de servlets Collaboration de servlets : redirection Les servlets peuvent partager ou déléguer le contrôle de la requête Deux types de collaborations : Délégation : une Servlet peut renvoyer une requête entière à une autre servlet Inclusion : une Servlet peut inclure du contenu généré par une autre servlet Les avantages sont : Délégation de compétences Meilleure abstraction et architecture logicielle MVC Interface gérant la collaboration : javax.servlet.requestdispatcher Une instance de RequestDispatcher est obtenue : Sur la requête : getrequestdispatcher(string path) path est le chemin relatif ou absolu d'une ressource (servlet, JSP, fichier statique, ) ne pouvant pas sortir du contexte courant 78 Pour distribuer en dehors du contexte courant, il faut : Identifier le contexte extérieur : utilisation de getcontext(string uri) Utiliser ensuite getrequestdispatcher(string path) Note : les chemins sont uniquement en absolu Redirection de la requête d une servlet vers une autre ressource sur le serveur Types de redirection : Effectuée par le serveur sur le même serveur void RequestDispatcher.forward(ServletRequest, ServletResponse) Effectuée par le serveur sur un autre serveur void RequestDispatcher.sendRedirect(String) Possibilité de transmettre des informations lors de la redirection en utilisant les attributs de requête via la méthode setattribute() en attachant des paramètres à l URL 79

6 Collaboration de servlets : redirection Collaboration de servlets : redirection Illustration de redirection interne public class Emetteur extends HttpServlet { req.setattribute("nom", "toto"); // getattribute() pour // retrouver la valeur RequestDispatcher disp = req.getrequestdispatcher("/recepteur.do?age=22"); disp.forward(req, res); // Ne rien faire sur req et res public class Recepteur extends HttpServlet { res.setcontenttype("text/plain"); out.println(req.getparameter("age")); // chaîne de caractères out.println(req.getattribute("nom")); // objet 80 Illustration de redirection externe : alternative 1 : redirection différée du client vers une autre URL public class ClientMove extends HttpServlet { static final String NEW_HOST = " public void doget(httpservletrequest req, HttpServletResponse res) res.setcontenttype("text/html"); String newlocation = NEW_HOST + req.getrequesturi(); res.setheader("refresh", "5; URL=" + newlocation); out.println("changement d'url : <A HREF=\""); out.println(new_host+ "\">"+ NEW_HOST +"</A><BR>"); out.println("vous serez redirigé dans 5 secondes"); Illustration de redirection externe : alternative 2 : redirection immédiate du client vers une autre URL : sendredirect(string) 81 Collaboration de servlets : inclusion Collaboration de servlets : inclusion Inclusion du contenu d une ressource dans la réponse courante (Jsp, servlet, fichier texte ) void RequestDispatcher.include( ServletRequest req, ServletResponse res) La différence avec une redirection est : la servlet appelante garde le contrôle de la réponse elle peut inclure du contenu avant et après le contenu inclus Possibilité de transmettre des informations lors de l'inclusion en utilisant les attributs de requête via la méthode setattribute() 82 public class Regroupage extends HttpServlet { res.setcontenttype("text/html"); out.println("<html><body>"); RequestDispatcher dispat = req.getrequestdispatcher("/inclus.do"); dispat.include(req,res); out.println("<br />"); req.setattribute("bonjour", "Bonjour"); dispat.include(req,res); out.println("<br />"); req.setattribute("bonsoir", "Bonsoir"); dispat.include(req,res); out.println("<br />"); out.println("</body></html>"); public class Inclus extends HttpServlet { if(req.getattribute("bonjour")!= null) { out.println(req.getattribute("bonjour")); if (req.getattribute("bonsoir")!= null) { out.println(req.getattribute("bonsoir")); else { out.println("pas Bonsoir"); else { out.println("rien"); 83

7 Servlet et Thread Une servlet ne possède qu'une seule instance (singleton) qui est attaquée par plusieurs threads à la fois (1 thread / client) Problèmes : Plusieurs threads peuvent traverser la méthode service() en même temps => ne sont pas thread safe ni les variables d'instance, les contextes, les sessions Cas d'un client qui clique plusieurs fois sur un bouton "submit", ouvre plusieurs navigateurs, etc. Accès concurrents sur une ressource : modification d un fichier commun, etc. Servlet et Thread Solution 1 : utilisation de synchronized public class MyThread extends HttpServlet { private int i = 0; public void doget( ) { synchronized(this) { int tmp = ++i; public class MyThread extends HttpServlet { public void doget( ) { User user = new User(); HttpSession session = req.getsession(true); synchronized(session) { session.setattribute("user", user); En général : Les variables doivent être locales aux méthodes Les attributs de classes ne peuvent être que de constantes de configuration initialisées dans la méthode init() Servlet et Thread web.xml : Gestion des erreurs Solution 2 : Utiliser l interface SingleThreadModel implémentée par la servlet qui permet d indiquer au moteur de servlets que l on souhaite qu une instance de la servlet ne soit attaquée que par un Thread à la fois Cette interface ne comporte aucune méthode à implémenter, elle ne représente qu un drapeau pour le moteur de servlet <web-app> <servlet-mapping> <servlet-name>errorservlet</servlet-name> <url-pattern>/servleterr</url-pattern> </servlet-mapping> <error-page> <exception-type>javax.servlet.servletexception</exception-type > <location>/servleterr</location> </error-page> web.xml <error-page> <error-code>403</error-code> <location>/errorpages/error403.jsp</location> </error-page> <error-page> <exception-type>java.lang.throwable</exception-type > <location>/errorpages/error403.jsp</location> </error-page> 86 87

8 web.xml : Filtres web.xml : Filtres API javax.servlet.filter Permet de consulter et transformer les en-têtes et le contenu des requêtes et des réponses Traitement s interposant entre le client et la ressource requise (Servlet, JSP, fichier) Chaînage de filtres selon l ordre de déclaration dans web.xml Exemple de filtres Authentification, blocage des adresses IP Conversion (Image), Transformation (XSLT) Chiffrage, Compression Log, 88 <filter> <filter-name>logfilter</filter-name> <display-name>logfilter</display-name> <description>envoie des logs</description> <filter-class>myapp.filters.logfilter</filter-class> </filter> <filter-mapping> <filter-name>logfilter</filter-name> <url-pattern>/unpath/*</url-pattern> </filter-mapping> Web.xml public class LogFilter implements javax.servlet.filter { private FilterConfig config; public void init(filterconfig fc) throws ServletException { config = fc; public void dofilter(servletrequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { config.getservletcontext().log( "Request received from: " + req.getremotehost()); chain.dofilter(req, res); public void destroy() { Filtre 89 web.xml : Accès à des paramètres web.xml : Autres fonctionnalités <env-entry> <env-entry-name>nom</env-entry-name> <env-entry-value>toto</env-entry-value> <env-entry-type>java.lang.string</env-entry-type> </env-entry> Context ctx = new InitialContext(); String value = (String) ctx.lookup("java:/comp/env/nom"); Web.xml Servlet Centralisation de paramètres dans le fichier web.xml accessibles aux servlets de l'application Illustration : paramètres d'accès à une base de données Web.xml permet également de paramétrer : Observateurs de session : réagir face à des événements intervenants dans la session Mapping de types MIME : lorsque des fichiers sont envoyés au client, Tomcat génère automatiquement un en-tête "Content-Type" pour les types définis dans le descriteur Références d'ejb Configuration des sources de données (appels JNDI) Configuration de la JSP et des tags JSP (à voir) Contraintes de sécurité (à voir) etc