JSessionIdは複数の関連のないドメインに関連しているため、JSessionIdの一意性と範囲を理解しようとしています。
JSESSIONIDはどのような条件で作成されますか?、そしてまだいくつかの質問があります-
具体的には:
ユーザーがにアクセスwww.app1.comし、そのアプリがwww.app2.comデータをロードするための呼び出しを行う場合、2つのjsessionIdが作成されます(ドメインごとに1つ)。
同様に、呼び出しがに発信されるとwww.app2.com、jsessionidに関する情報がwww.app1.com渡されますか?
リダイレクトはこれにどのような影響を与えますか?http://app1.com/login.jsp(例:へのリダイレクトのリクエストhttp://app2.com/login.jsp)
ユーザーがwww.app1.comにアクセスし、そのアプリがwww.app2.comを呼び出してデータをロードする場合、2つのjsessionIdが作成されます(ドメインごとに1つ)。
はい。より正確には、すべての個別のWebAppは、そのドメインに対して独自のCookieを発行します。したがって、異なるWebアプリがマップされている場合、www.app1.com/1とwww.app1.com/2は異なるCookieを持ちます。
同様に、電話がwww.app2.comに発信されるとき、www.app1.comからのjsessionidに関する情報は渡されますか?
いいえ。ただし、Cookieを別のURLに渡すスクリプトを挿入するのは難しくないため、アプリのセキュリティ保護が優れている理由についてXSSとCSRFについて読んでください。
リダイレクトはこれにどのような影響を与えますか?(たとえば、http://app1.com/login.jspをリクエスト するとhttp://app2.com/login.jspにリダイレクトされます)
何もありません。すでに両方にログオンしている場合は、後でログオンする可能性があります。一方をログオフしても、もう一方には影響しません。(真のシングルオン/シングルサインオフが必要な場合は、両方のアプリがCASサーバーやKerberosサーバーなどのサードパーティを信頼する必要があります)。
JSESSIONIDセッションCookieです。このCookieにはdomainセットがあるため、この場合、2つのCookieがあり、どちらも属性JSESSIONIDの異なるパスで呼び出されます。domain