Tomcat 如何维护会话完整性?
HttpServletRequest 的 getSession(boolean) 方法提到了会话完整性。 Tomcat 如何维护会话完整性?它使用什么规则?什么方法?幕后究竟发生了什么?
编辑
特定会话 ID 是如何以及何时创建的?例如,Tomcat 是否依赖 IP 地址和端口?
HttpServletRequest's getSession(boolean) method mentions session integrity. How does Tomcat maintains session integrity? What rules does it use? What method? What is happening under the hood precisely?
EDIT
How and when is a specific session ID is created? Does Tomcat rely on IP address and port for example?
如果你对这篇内容有疑问,欢迎到本站社区发帖提问 参与讨论,获取更多帮助,或者扫码二维码加入 Web 技术交流群。
绑定邮箱获取回复消息
由于您还没有绑定你的真实邮箱,如果其他用户或者作者回复了您的评论,将不能在第一时间通知您!
发布评论
评论(2)
在 Tomcat 中,
ManagerBase。 generateSessionId()方法负责会话id的生成。我认为会话 ID 是根据随机数生成的。您可以将客户端的 IP 地址存储在会话中并在您的 web 应用程序中检查它,但据我所知 Tomcat 不会这样做。关于会话完整性:您能定义一下吗? Java Servlet 规范中有一段关于它的内容,版本 3.0 但并不算太多:
In Tomcat the
ManagerBase.generateSessionId()method is responsible for session id generation. It looks for me that session ids are generated based on random numbers. You can store the client's IP address in the session and check it in your webapp but as far as I know Tomcat does not do that.About session integrity: could you define it, please? There is a paragraph about it in the Java Servlet Specification, Version 3.0 but it isn't too much:
这个博客提供了有关会话跟踪的一些详细信息带有 Tomcat 的 cookies。
This blog gives some details on Session Tracking with cookies with Tomcat.