Tomcat 会话管理 - url 重写以及从 http 切换到 https

Question

我是 C 语言的老手，但 Java/Tomcat 的新手。

我对单独使用 http 进行 Tomcat 会话管理很满意。当我开始考虑切换到 https 时，我遇到了问题。

我对 Tomcat 的了解是，如果您想在从 http 切换到 https 并返回到 http 时保持会话，则必须从 http 会话开始。当浏览器启用 cookie 时，这对我来说效果很好。

但是，当浏览器禁用 cookie（并且正在使用 URL 重写）时，将 http 切换为 https 或再次切换回 https 会导致每次启动新的会话。我假设这是一个安全问题。

Q1 - 是否可以/需要使用 URL 重写来维持 http 和 https 之间的会话？

Q2 - 如果不可能，那么电子商务开发人员如何处理非 cookie 用户？

我不想阻止非 cookie 用户使用我的网站。我确实想要在 http 和 https 之间灵活切换。

感谢您的帮助， 史蒂文.

Answer 1

使用相同的 cookie 或 URL 令牌来维护 HTTP 和 HTTPS 之间的会话似乎并不可取。

想象一下这样的情况：您的用户已登录，并且为电子商务网站中的每个请求/响应来回传递给定的 cookie（或 URL 令牌）。如果中间有人能够读取该 cookie，他就可以使用它登录到该网站的 HTTP 或 HTTPS 变体。即使合法用户正在通过 HTTPS 执行任何操作，攻击者仍然能够访问该会话（因为他也将拥有合法的 cookie）。他可以看到购物车、付款方式等页面，也许还可以更改送货地址。

在 HTTP 会话和 HTTPS 会话之间传递某种形式的令牌（如果您使用会话）是有意义的，但将它们视为同一个会导致一些漏洞。在查询参数中创建一次性标记（只是转换）可能是一种解决方案。但是，您应该将它们视为两个单独的经过身份验证的会话。

有时，使用混合 HTTP 和 HTTPS 内容的网站可能会出现此漏洞（发生这种情况时，某些浏览器（例如 Firefox）会向您发出警告，尽管大多数人倾向于在第一次弹出时将其禁用）。您可以在主页上使用 HTTPS 会话 cookie，但该页面通过普通 HTTP 包含公司徽标的图像。不幸的是，浏览器会发送两者的 cookie（因此攻击者将能够获得 cookie）。我见过这种情况发生，即使有问题的图像根本不存在（浏览器会将带有 cookie 的请求发送到服务器，即使它返回 404 未找到）。