当前位置: 文江博客话题详情

Tomcat 能否为 HTTPS 请求提供单独的(或仅 HTTPS)会话?

发布于 2024-08-25 20:43:49 字数 405 浏览 8 评论 0原文

我有一个 Web 应用程序,其中包含安全 (SSL) 页面和非安全页面。

用户可以登录该站点,并且必须在 SSL 和非 SSL 区域中显示为已登录。

(注意。SSL 不是通过 Tomcat 实现的,而是通过位于 Tomcat 前面的 Apache HTTPD 服务器实现的 - 因此 Tomcat 没有 SSL 配置。)

登录状态当前通过 servlet 会话维护(使用 Tomcat 的普通会话管理) 。

这种方法的明显问题是 JSESSIONID cookie 通过 HTTP 和 HTTPS 连接传输,这意味着有可能拦截它并劫持会话。

是否有任何解决方案,无需滚动我们自己的会话管理(即 Tomcat 是否可以满足这种情况)?

我准备实现我们自己的会话管理,但不想重新发明可能已经支持的东西。

原文

I have a web application which contains both secure (SSL) and non-secure pages.

A user can login to the site and must appear logged-in in both the SSL and non-SSL areas.

(NB. SSL isn't implemented via Tomcat, but via Apache HTTPD servers which sit in front of Tomcat - so Tomcat has no SSL configuration.)

The logged-in state is currently maintained via a servlet session (using Tomcat's vanilla session management).

The obvious issue with this approach is that the JSESSIONID cookie is transported over both HTTP and HTTPS connections, meaning that it's potentially possible to intercept it and hijack the session.

Are there any solutions to this without rolling our own session management (i.e. does Tomcat cater for this situation)?

I'm prepared to implement our own session management, but don't want to reinvent something that may already be supported.

如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。

扫码二维码加入Web技术交流群

发布评论

需要 登录 才能够评论, 你可以免费 注册 一个本站的账号。

评论(1

度的依靠╰つ 2024-09-01 20:43:49

你说SSL是在Apache服务器上实现的,并没有传递给Tomcat,所以Tomcat将整个旅程视为HTTP?如果是这样,Tomcat 将不会创建单独的 JSESSIONID,因为它不知道 HTTPS。

您可以检查 request.getUserPrincipal() 以查看用户是否已登录。

You say the SSL is implemented on the Apache server and not passed down to Tomcat, so Tomcat treats the whole journey as HTTP? If so, Tomcat will not create separate JSESSIONIDs since it is not aware of the HTTPS.

You can check the request.getUserPrincipal() to see if user is logged-in.

回复 原文
~没有更多了~

关于作者

花辞树

暂无简介

0 文章
0 评论
23 人气
发私信

相关话题

更多

热门标签

操作系统 程序设计 IT运维 Linux系统管理 JavaScript 服务器应用 solaris C/C++ PHP Shell BSD Vue.js aix Oracle Python HTML 系统管理 HTML5 CSS 前端
更多

推荐作者

玍銹的英雄夢

文章 0 评论 0

我不会写诗

文章 0 评论 0

十六岁半

文章 0 评论 0

浸婚纱

文章 0 评论 0

qq_kJ6XkX

文章 0 评论 0

旧伤还要旧人安

文章 0 评论 0

更多

友情链接

文江博客
    我们使用 Cookies 和其他技术来定制您的体验包括您的登录状态等。通过阅读我们的 隐私政策 了解更多相关信息。 单击 接受 或继续使用网站,即表示您同意使用 Cookies 和您的相关数据。
    原文