【发布时间】:2010-03-23 15:14:54
【问题描述】:
我有一个包含安全 (SSL) 和非安全页面的 Web 应用程序。
用户可以登录网站,并且必须在 SSL 和非 SSL 区域都显示为已登录。
(注意。SSL 不是通过 Tomcat 实现的,而是通过位于 Tomcat 前面的 Apache HTTPD 服务器实现的 - 所以 Tomcat 没有 SSL 配置。)
登录状态当前通过 servlet 会话(使用 Tomcat 的 vanilla 会话管理)维护。
这种方法的明显问题是 JSESSIONID cookie 是通过 HTTP 和 HTTPS 连接传输的,这意味着有可能拦截它并劫持会话。
在不滚动我们自己的会话管理的情况下,是否有任何解决方案(即 Tomcat 是否适合这种情况)?
我准备实现我们自己的会话管理,但不想重新发明可能已经支持的东西。
【问题讨论】: