我工作的產品受到潛在客戶的嚴格安全審覈,他們對於Tomcat在認證發生之前設置JSESSIONID Cookie感到不安。也就是說,Tomcat在我們的無狀態登錄頁面加載時,但在登錄之前設置此cookie。如何在登錄後刷新JSESSIONID cookie
他們建議以下任一操作:
- 問題的新JSESSIONID的cookie登錄後
- 防止在登錄頁面首先被設置JSESSIONID的cookie(即驗證已經發生之前)
我一直在鑽研與本網站相關的所有JSESSIONID,並且找不到簡單的答案。我只是希望有一些想法。對於每一個我最好的解決方案是:
- 登錄之後,克隆複製的所有屬性,舊的會話無效,創建一個新的,複製的值,它與請求關聯的會話(減去ID) ,並希望這有效。
- 在最初加載登錄頁面之前,在鏈的最末端創建一個servlet過濾掉JSESSIONID cookie。然後希望登錄請求在沒有JSESSIONID集的情況下運行。
我必須睡一會兒,但早上會嘗試這些。從人那裏獲得一些比我更聰明的反饋或更好的建議將會非常棒 - 像你一樣!
無論如何,我會在這裏發佈我的結果,因爲它好像很多其他人一直想要做類似的事情。
有趣的東西。我正在使用Wicket 1.3,而且我似乎無法找到設置'session = false'的方法(視圖方不是基於JSP的)。我現在要嘗試getSession(false)想法...謝謝! –
在登錄之前使會話失效導致Wicket混亂(只是重定向到登錄頁面)。仍然搞這個...... –
@RichardsonHeights:看看https://issues.apache.org/jira/browse/WICKET-1767。它似乎記錄和解決。 – cherouvim