jSessionId真的是唯一的吗？

Question

为了提供一些上下文，我正在开发一个 API 来跟踪网站上的用户操作（也包括匿名用户）。到目前为止，我们使用 jsessionId 来识别每个用户及其操作。

该 API 现在可以在 Tomcat 和 JBoss 上运行。

真正重要的问题是，由于我们每天分析一次所有数据，是否可以以任何方式保证该 jsessionId 一整天的唯一性？或者，不同时，其他用户能否获得其他用户先前使用的相同 jsessionId？

提前致谢。

Answer 1

抱歉，没有指定。只需要在该时间点对于该 jvm 来说是唯一的。也就是说，只要没有其他人拥有会话，会话 ID 每天就可以重复使用多次。我同意大多数实际实现可能会提供更有力的保证，但我认为您不能指望它。

查看此邮件列表 -在其中，人们讨论了 Tomcat 和 Resin 中的会话 ID 重用。

因此，基本上，会话 ID 是唯一的假设只有在会话被销毁之前才成立。