1. 全栈程序员必看首页

jsessionid是什么(jsessionid影响单点登出)

全栈程序员-站长 未分类 阅读 70

好久没写博客了,一直没什么好写的,最近碰到JSESSIONID这个问题,网上的说法有点模糊,特别是什么时候会出现URL重写这个问题,有些说客户端禁用Cookie,有些说第一次访问,这里总结一下JSESSIONID是什么老实说一开始看到这个有点懵,写Java这么久没看过这东西。首先,JSESSIONID是一个Cookie,Servlet容器(tomcat,jetty)用来记录用户session。什么…

大家好,又见面了,我是你们的朋友全栈君。

好久没写博客了,一直没什么好写的,最近碰到JSESSIONID这个问题,网上的说法有点模糊,特别是什么时候会出现URL重写这个问题,有些说客户端禁用Cookie,有些说第一次访问,这里总结一下

JSESSIONID是什么

老实说一开始看到这个有点懵,写Java这么久没看过这东西。

首先,JSESSIONID是一个Cookie,Servlet容器(tomcat,jetty)用来记录用户session。

什么时候种下JSESSIONID

创建会话时,即调用request.getSession()的时候,关于getSession就不说了。补充几点是,访问html是不会创建session的,JSP页面默认是会创建session的,可以在JSP页面里面关掉自动创建session

URL重写

服务端在内存里创建session,需要种Cookie,除了在request header里面设置Set-Cookie以外,tomcat等容器有一个URL重写机制。这个机制是客户端Cookie不可用时的一个兜底策略,通过在URL后面加上;jsessionid=xxx来传递session id,这样即使Cookie不可用时,也可以保证session的可用性,但是session暴露在URL里,本身是不安全的,到这里基本网上说法都是一致的

但是最关键的问题,tomcat怎么知道客户端Cookie不可用。我在idea导入tomcat的源码调试跟踪,不同版本有些出入,大致应该还是一样的

tomcat有一个org.apache.catalina.connector.Response是Response的落地类,有两个方法会进行URL重写,分别是encodeRedirectURL和encodeURL,encodeRedirectURL是重定向时会被调用,encodeURL貌似是手动调用,所以默认情况,重定向时才会出现URL重写。两个方法代码类似,下面只关注encodeRedirectURL

/**

* Encode the session identifier associated with this response

* into the specified redirect URL, if necessary.

*

* @param url URL to be encoded

* @return true if the URL was encoded

*/

@Override

public String encodeRedirectURL(String url) {

if (isEncodeable(toAbsolute(url))) {

return (toEncoded(url, request.getSessionInternal().getIdInternal()));

} else {

return (url);

}

}

方法注释写得很清楚了,如果有必要的话,把session id塞到重定向的URL里面。再看一下isEncodeable方法,关键地方我加了中文注释

/**

* Return true if the specified URL should be encoded with

* a session identifier. This will be true if all of the following

* conditions are met:

*

*

The request we are responding to asked for a valid session

*

The requested session ID was not received via a cookie

*

The specified URL points back to somewhere within the web

* application that is responding to this request

*

*

* @param location Absolute URL to be validated

* @return true if the URL should be encoded

*/

protected boolean isEncodeable(final String location) {

if (location == null) {

return false;

}

// Is this an intra-document reference?

if (location.startsWith(“#”)) {

return false;

}

// Are we in a valid session that is not using cookies?

final Request hreq = request;

final Session session = hreq.getSessionInternal(false);

if (session == null) {

return false;

}

//这里其实就是网上说的客户端禁用Cookie

if (hreq.isRequestedSessionIdFromCookie()) {

return false;

}

// Is URL encoding permitted

// servlet3.0后可以在项目web.xml里关掉URL重写,对应tomat7之后

if (!hreq.getServletContext().getEffectiveSessionTrackingModes().

contains(SessionTrackingMode.URL)) {

return false;

}

if (SecurityUtil.isPackageProtectionEnabled()) {

return (

AccessController.doPrivileged(new PrivilegedAction() {

@Override

public Boolean run(){

return Boolean.valueOf(doIsEncodeable(hreq, session, location));

}

})).booleanValue();

} else {

//这个方法会重写URL

return doIsEncodeable(hreq, session, location);

}

}

其中调用Request对象的isRequestedSessionIdFromCookie判断客户端Cookie是否可用,里面逻辑也很简单,就是读取request里面有没有传JSESSIONID这个Cookie。所以网上有些人说第一次访问,其实只要客户端没有传JSESSIONID,tomcat都假定Cookie不可用

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请联系我们举报,一经查实,本站将立刻删除。

发布者:全栈程序员-站长,转载请注明出处:https://javaforall.net/129560.html原文链接:https://javaforall.net

(0)
0 0

关于作者

全栈程序员-站长的头像

全栈程序员-站长

133.5K 文章
3 粉丝
本网站汇聚当前互联网主流语音,持续更新,欢迎关注公众号“全栈程序员社区”
上一篇 2022年4月14日 上午9:20
下一篇 2022年4月14日 上午9:20


相关推荐

  • 深刻理解空间(线性空间,度量空间,赋范空间,线性赋范空间,内积空间,巴拿赫空间以及希尔伯特空间)

    深刻理解空间(线性空间,度量空间,赋范空间,线性赋范空间,内积空间,巴拿赫空间以及希尔伯特空间)

    深刻理解空间(线性空间,度量空间,赋范空间,线性赋范空间,内积空间,巴拿赫空间以及希尔伯特空间)在我们学习矩阵理论和统计理论的时候 总是会出现 空间 在之前的时候对于空间理解的过程中 总是试图拿出一个具体的例子来加深自己的理解 但是这样做是不对的 因为如果说对于类似 欧几里何空间 这样的空间 跟我们生活中的三维空间极为相似 我们确实可以想象到一个具体的例子 但是对于类似 希尔伯特空间 之类的 我们很难用一个具体的实例来印证 所以 空间 到底是个什么东西呢 很感谢交大王老师的公

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月26日
    2
  • 关于WiFi密码破解的一些心得

    关于WiFi密码破解的一些心得

    关于加密方式  目前无线网络加密形式常见的有两种:WEP和WPA/WPA2。  WEP破解方法相对简单,这种加密方式由于不安全现在基本上没有使用了。这里对其破解方法不做讨论。  WPA/WPA2破解的主流方法有Pin码破解、抓包破解。Pin码  Pin码破解最简单成功率最高,(需要路由器开启wps才行),使用QSS很快即可破解。  常用的pin码软件有幻影Pin、水…

    全栈程序员-站长的头像 全栈程序员-站长
    2022年4月14日
    161
  • django验证码登录_实名认证验证库中无此信息

    django验证码登录_实名认证验证库中无此信息

    django验证码登录_实名认证验证库中无此信息djoser是什么?作用:Django认证系统的REST实现。djoser库提供了一组DjangoRestFramework视图,用于处理注册、登录、注销、密码重置和帐户激活等基本操作。它适用于

    全栈程序员-站长的头像 全栈程序员-站长
    2022年7月31日
    5
  • 电信光猫改桥接还在苦苦激活成功教程超级密码吗?

    电信光猫改桥接还在苦苦激活成功教程超级密码吗?

    电信光猫改桥接还在苦苦激活成功教程超级密码吗?电信光猫路由改桥接,不同的地区有不通的方法。比较幸运的地区和终端,有通用的超级密码。但是不幸的地区,就需要通过激活成功教程这个超级密码。我就属于比较不幸的地区,遇到不幸的终端:天翼网关TEWA-708G。然后按照网上大神的激活成功教程方法:先是普通用户登录,然后通过备份的方式,将备份文件考出,再通过电脑上的网页源码查看软件找到超级用户的密码。里面当然也有宽带的用户名和密码。通过多方努力,我成功了。然后开心的准备给家里买个新的路由器,准备换上。这中间大概隔了一两周的时间。悲剧发生了。。。。。。光猫的版本升级了,这个漏洞被电信

    全栈程序员-站长的头像 全栈程序员-站长
    2022年10月8日
    4
  • 新手小白怎么用u盘装电脑系统步骤详细指南 新手如何用u盘安装系统 gpt

    新手小白怎么用u盘装电脑系统步骤详细指南 新手如何用u盘安装系统

    新手小白怎么用u盘装电脑系统步骤详细指南 新手如何用u盘安装系统

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月14日
    3
  • linux ftp切换目录命令,linux FTP命令详解

    linux ftp切换目录命令,linux FTP命令详解

    linux ftp切换目录命令,linux FTP命令详解linuxFTP 命令详解更新时间 2008 年 09 月 12 日 00 14 55 作者 整理的比较全的 linux 下 ftp 命令详细说明 FTP 的命令行格式为 ftp v d i n g 主机名 其中 v 显示远程服务器的所有响应信息 n 限制 ftp 的自动登录 即不使用 netrc 文件 d 使用调试方式 g 取消全局文件名 ftp 使用的内部命令如下 中括号表示可选项 1 cmd a

    全栈程序员-站长的头像 全栈程序员-站长
    2026年3月16日
    2

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注

关注全栈程序员社区公众号