问题标签 [jsessionid]

我们有以下情况：

1. 转到http ://website/ 并单击指向http ://website/appX的链接
   检查 cookie 显示的 JSessionID 是否为 Secure = NO。

2. 打开另一个浏览器窗口或选项卡并转到https ://website/ 并单击指向https ://website/appY 的链接。
   检查 cookie 显示的 JSessionID 是否为 secure = YES。

3. 尝试与在步骤 1 中创建的窗口/选项卡进行交互。我的会话已过期...

如果我们重复这些步骤，但在步骤 2 中使用https ://website/appX 而不是https ://website/appY，那么 JSessionID cookie 将保持 Secure=NO。

所有 cookie 都有 JSessionId，最后附加了 jvmRoute。

--

我们正在使用：

Apache (2.2.3-43.el5_5.3) + mod_jk（带粘性会话）和配置到多个 JBoss 实例（v 4.3.0）的负载均衡器。

我只发现了一个完全相同问题的链接（通常其他问题使用 PHP）： http ://threebit.net/mail-archive/tomcat-users/msg17687.html

问：我们如何防止 JSessionId cookie 被重写？

我正在开发一个应用程序来登录页面，然后访问一些页面数据。我通过 Firefox 登录并使用 LiveHeaders 查看会话 cookie。

然后我更新了我的代码：

connection.addRequestProperty("Cookie", "XXXXXXXXXXXXXXXXXXXXX");

用 cookie 替换“XXXXXX”。然后程序可以访问所需的页面。

我正在尝试自动化进程并使用 Apache HttpClient。我可以通过 HttpClient 登录并获取会话 cookie，但由于某种原因，会出现以下问题：

在主要方法中，我添加了 String cookieString = doLogin(); 然后更改了我的其他方法以使用 connection.addRequestProperty("Cookie", cookieString);

由于某种原因，URLConnection 无法登录。如果我复制cookieString我打印出来的字符串，并将我的代码更改为 connection.addRequestProperty("Cookie", "[the printout of the cookie string]"); 然后它可以工作。

我不知道问题可能出现在哪里。在将其添加到标头之前，我已在方法中打印出cookieString变量，它与应有的完全相同。

cookie 似乎仅在它是静态字符串（“xxxxxx”）时才有效，如果它是 String 变量则无效。

任何想法，将不胜感激。

提前致谢。

Set-Cookie: VS jsessionid url token 优先级如何？

如果设置了 cookie，Apache Tomcat 似乎只是忽略了令牌。是不是有点不方便的行为？还是因为安全原因是这样？

这是 servlet 中请求的 url

并且生成的 Session 的 ID 对应于 cookie 请求头参数...

这意味着，它搞砸了对请求的处理。例如 Spring-mvc 将 someParam值解析为addFile;jsessionid=7A6ECCF009D4855821BCB45E0B744A7B'并崩溃并出现异常......

为了说明一些情况，我正在开发一个 API 来跟踪网站上的用户操作（也是匿名用户）。到目前为止，我们使用 jsessionId 来识别每个用户及其操作。

该 API 现在可以在 Tomcat 和 JBoss 上运行。

真正重要的问题是，既然我们每天分析所有数据，那么这个 jsessionId 的唯一性是否能保证一整天？或者，不是同时，其他用户能否获得其他用户之前使用的相同 jsessionId？

提前致谢。

将应用程序链接重定向到 Java - GWT 自定义页面。

每当用户通过我的APP登录时。并且用户点击按钮（比如添加记录）然后应该发生重定向，即页面应该从应用程序链接重定向到 GWT 自定义页面。

• 当应用程序链接被按钮点击时如何调用servlet？
• 之后如何从调用的 servlet 调用 GWT 页面。
• 想要显示 GWT 自定义页面，其中包含 REQUEST 中的数据。

在 GI 开发的 UI 屏幕上可用的隐藏字段。这些字段可以传递给从应用程序链接启动的 GWT 自定义应用程序。

APP(UI) --> SERVLET---> GWT 页面（请求中存在数据的 UI，即 jsessionid，隐藏字段）

web.xml 中需要做哪些更改？

请提供任何有用的文档、链接、示例代码和任何想法

希望有最好的合作提前谢谢。

我在 Tomcat 上提供以下域的服务：

现在我需要 domain1 的透明授权（Spring Security）。如果用户登录到 sub1.domain1.com，他也会在 sub2.domain1.com 上获得授权。

这可以通过 Tomcat 的设置来完成

但是现在 sub1.domain2.com 上的授权根本不起作用，因为所有 JSESSIONID cookie 域总是设置为“.domain1.com”。

我怎样才能让 tomcat 只使用当前域的第二级作为 cookie？

当谷歌抓取我们的网站时，生成的 URL 都jsessionid附加了它们。发生这种情况是因为应用服务器检测到 Googlebot 中缺少 cookie 支持，从而迫使会话通过 URL 重写来维护？我能做些什么吗？

解决方案只是从不打电话Component.getSession()吗？有什么类似的HttpServletRequest.getSession(false)吗？

编辑：刚刚找到org.apache.wicket.Session.exists()

我在本地运行 Weblogic 10.3，并且对它生成的 sessionId 有疑问。当我打印 session.getId() 我看到类似这样的东西：

BBp9TAACMTglQ2TDFAKR4tpyXg73LZDQJ2PtT9x8htG1tWY122aa!869187422!1308677666322

这些感叹号是什么，后面是什么，特别是第二对：！1308677666322？看起来有时服务器会附加它，有时它不会。如果我第二次使用同一个浏览器登录我的应用程序，我相信 weblogic 会附加它。这个cookie有什么关系吗？

我试图了解 JSessionId 的唯一性和范围，因为它涉及多个不相关的域。

我读过在什么条件下创建 JSESSIONID？，还有一些问题——

具体来说：

如果用户访问www.app1.com，并且该应用程序调用www.app2.com加载数据，是否创建了两个 jsessionId - 每个域一个？

同样，当调用到 时www.app2.com，是否传递了有关 jsessionid 的任何信息www.app1.com？

重定向对此有何影响？（例如，请求http://app1.com/login.jsp重定向到http://app2.com/login.jsp）

我注意到用户第一次访问我的站点时，Wicket 生成的 URL 包含一个jsessionid，而不是依赖 cookie 来获取会话信息。

cookie 确实设置成功，如果用户只是重新加载页面，jsessionid则不再附加到 URL。您可以在这里进行测试：pixlshare.com。将鼠标悬停在任何图像链接上都会显示带有jsessionid;的 URL。重新加载页面，jsessionids将被删除。

根据之前对Wicket SEO 页面的经验，我知道如何删除它jsessionid以将其从机器人中隐藏，但对普通用户使用这种技术似乎是一种黑客行为。对于那些偏执到禁用 cookie 的人来说，它也会破坏该网站。

这是在最近从 Glassfish 迁移到 Tomcat 之后发生的，尽管我不能肯定这就是原因。另外，我在 Tomcat 前面使用了 Apache 的 mod_proxy。