我們用apache的HttpClient這個庫消費雲端的Restful API時,一般都需要兩次HTTP調用,第一次獲得某種token,比如擷取防止跨域請求僞造攻擊Cross-site request forgery - CSRF的token,或者比如微信API的access token,第二次再進行真正的API消費。
通常情況下,第一次請求完畢後,伺服器都會給用戶端傳回一些cookie字段,在第二次請求時,如果使用的是postman測試工具或者apache的HttpClient這個庫,cookie字段都會自動被附加在第二次請求的HTTP頭部。詳情可以參考我寫的另一篇部落格:OData service parallel performance measurement – how to deal with XSRF token in Java Program and JMeter
https://blogs.sap.com/2017/08/28/odata-service-parallele-performance-measurement-how-to-deal-with-xsrf-token-in-java-program-and-jmeter/本文就來介紹apache的HttpClient,在發送第二個Http請求時,是如何自動插入從第一個請求獲得的伺服器頒發的cookie的。
首先進入HttpClient的單步調試:InternalHttpClient.doExecute方法:
第85行的origheaders,即取出程式員在代碼裡指定的http請求頭部字段,比如basic Authentication,content-type,token等等:
這個cookie是什麼時候傳進來的?
看來我們必須進入httpcore-4.4.3.jar這個apache HttpClient的實作裡去調試。
經過觀察發現,一旦我執行完204行的conn.sendRequestHeader方法,就能觀察到Cookie被自動設定了,是以奧妙就在第204行裡。
自動添加Content-Length頭部字段:
由此可見Content-length是通過方法entity.getContentLength()自動計算出來的,是以我們程式員不必在自己的應用代碼裡重複這個計算動作。
自動加入host字段:
自動加入Connection: Keep-Alive
UserAgent的自動填充:Apache-HttpClient/4.5.1, 這個也不用程式員操心。
終于到了我要找的RequestAddCookies這個HTTPRequestInterceptor了。光從這個類的字面意思就能猜到它和HTTP請求的Cookie有關。
建立一個Cookie,這個CookieOrigin構造函數裡的hpst,path和secure标志位都是Chrome開發者工具的Cookie标簽頁裡能看到。
從 Cookie Store裡取出前一次請求中由伺服器傳回的Cookie:
這裡把Cookie store裡的cookie加到第二個請求的頭部字段,謎底就這樣解開了。
本文來自雲栖社群合作夥伴“汪子熙”,了解相關資訊可以關注微信公衆号"汪子熙"。
![Fedora8上Apache Httpd與Tomcat6初內建[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)