瘋狂

STANDING ON THE SHOULDERS OF GIANTS

posts - 481, comments - 486, trackbacks - 0, articles - 1

BlogJava :: 首頁 :: 新隨筆 :: 聯系 :: 聚合

:: 管理

關于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting參數原理和使用

Posted on 2012-12-24 15:16 瘋狂閱讀(7460) 評論(0) 編輯收藏所屬分類: java安全、apache項目、方法論、架構、讀代碼

關于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting參數

關于session和cookie參考：

http://www.aygfsteel.com/freeman1984/archive/2011/09/02/357833.html

http://www.aygfsteel.com/freeman1984/archive/2010/09/09/331501.html

http://www.aygfsteel.com/freeman1984/archive/2010/03/30/316901.html

tomcat服務端和客戶端通過sessionCookieName參數（默認值：jsessionid）的值來識別session，并在此session中共享數據。在瀏覽器首次請求服務的時候，tomcat服務器會在響應頭信息信息里面返回：

告訴瀏覽器保存cookie名為JSESSIONID的cookie，當然此時為會話cookie，此cookie是保存在瀏覽器當前會話中的。過期時間為當前會話結束時。(當然前提是瀏覽器要設置為接受第三方cookie)

在下次瀏覽器請求的時候會將此cookie值返回給服務器，當然cookie的名稱同(sessionCookieName參數，確切的來說是同瀏覽器保存的會話cookie的名稱)，當服務器接受到此參數的時候，就不會在響應頭信息信息里面返回Set-cookie

當然sessionCookieName參數的值是可以修改的,查看官方文檔：

sessionCookieName

The name to be used for all session cookies created for this Context. If not set, the default of JSESSIONID will be used. Note that this default will be overridden by the org.apache.catalina.SESSION_COOKIE_NAME system property.

通過在contex中設置：
1 <Context sessionCookieName="jss" >

或者通過java虛擬機參數

2 -D org.apache.catalina.SESSION_COOKIE_NAME=jss

或者動過設置：

System.setProperty("org.apache.catalina.SESSION_COOKIE_NAME", "jss");

當然后兩種的優先級高。

修改之后在查看服務器返回：

當瀏覽器設置了不接受第三方cookie的時候。Tomcat支持通過URLRewrit（將sessionid放在url中）來將session的id傳給服務器來維持會話（當然如果瀏覽器接受會話cookie優先級是從會話cookie中去，也就是url里面的session參數會被拋棄）。

例如：get.do;jsessionid=1682268A851B4B6A3BAE18871C63AF30

查看tomcat相關源碼：

private static final String match = ";" + Globals.SESSION_PARAMETER_NAME + "=";

此時的SESSION_PARAMETER_NAME和sessionCookieName是可以不相同的（默認相同），通過修改org.apache.catalina.SESSION_PARAMETER_NAME參數來修改，方式如下：

-Dorg.apache.catalina.SESSION_PARAMETER_NAME=jsss

或者：

System.setProperty("org.apache.catalina.SESSION_PARAMETER_NAME", "jsss");

這樣通過URLRewrit的方式session就不限于么個瀏覽器或者瀏覽器頁了。只要有此seesionid任何瀏覽器任地方都能夠進行訪問，當然就帶來了安全問題。可通過以下參數來禁止URLRewrit傳sessionid，仍然是在tomcat的context.xml文件內設置：

官方文檔：

isableURLRewriting

Set to true to disable support for using URL rewriting to track session IDs for clients of this Context. URL rewriting is an optional component of the servlet 2.5 specification but disabling URL rewriting will result in non-compliant behaviour since the specification requires that there must be a way to retain sessions if the client doesn't allow session cookies. If not specified, the specification compliant default value of false will be used.

設置完成后即使你在url里面加了sessionid的值，服務器仍然會在返回頭信息里面返回Set-cookie信息。

其他應用服務器原理大致相同。

~完~

新用戶注冊刷新評論列表


只有注冊用戶登錄后才能發表評論。




網站導航: 博客園 IT新聞 Chat2DB C++博客博問管理
相關文章: 關于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting參數原理和使用數字證書原理(轉) OAuth簡介 tomcat https WEB應用中的身份驗證(1)--基本身份驗證BASIC authorization method Cookie和Session 探討JavaClassLoader與Package機制 md5加鹽驗證用戶密碼的小例子

瘋狂

關于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting參數原理和使用

日歷

公告

留言簿(11)

隨筆分類

相冊

搜索

積分與排名

最新隨筆

最新評論