Servlet 中的会话 ID 管理

Question

我在使用 Jmeter 进行性能测试时，我的 Web 应用程序遇到了一些问题。我的问题不是围绕 Jmeter，而是围绕简单的 Servlet 会话管理行为。

因此，我们有一个 Web 应用程序，当您请求登录页面时，它会在响应标头中传回“会话 ID”，并用于浏览器发出的后续请求。会话 ID 与用户名和密码一起传递，如果经过身份验证，则会返回新的会话 ID，并使用该会话 ID 继续维护会话。 这是使用cookie。

现在，在 Jmeter 中，我们有一种基于线程的负载测试方法。当我并行运行线程时，本质上发生的是每个线程请求一个登录页面，并且不知何故只有最后一个请求登录页面的线程经过身份验证，因为我觉得后续登录页面在 cookie 中带有新的会话 ID，会使旧的或其他会话 ID。

尽管每个线程都是不同的会话并且有自己的 cookie 管理器，但事实还是如此。这很奇怪。

然而我的问题是：

1. 登录页面附带会话 ID 是否有意义？我发现会话可能是在访问应用程序后立即创建的，但是，是什么设置了一个带有会话 id 的新 cookie 呢？这个应用程序已经编写好了，所以我只是想知道。

2. 如果每个线程的会话 ID 在 jmeter 中被覆盖，这是否意味着我无法正确分配单独的 cookie 管理器？另外，即使线程是不同的会话，旧的会话 ID 或 cookie 是否有可能被丢弃？

服务器如何知道使后续请求的会话 id/cookie 无效？我确信，这不是请求者的 IP 地址的基础，因为不同的浏览器仍然允许我打开并行的多个会话。

任何关于这个问题的想法、澄清和说明将不胜感激。

Answer 1

服务器只会使会话超时，这听起来肯定像是您在此处过度写入 cookie。

您是否尝试过通过在 url 中包含会话 ID 来了解它是如何进行管理的（模拟在浏览器中禁用 cookie）这是否有效？

Answer 2

这个问题已经解决了吗？
我想说的是，在登录页面中有一个会话 ID 是很不寻常的。会话用于存储服务器端的数据并将该数据关联到连接的用户。当然，在对用户进行身份验证之前，服务器端不应该有任何数据。