問題タブ [jsessionid]

次のような状況が発生しています。

1. http ://website/ に移動し、 http ://website/appXへのリンクをクリックし
   ます。Cookie が secure = NO の JSessionID を示していることを確認します。

2. 別のブラウザー ウィンドウまたはタブを開き、https ://website/ に移動し、 https ://website/appYへのリンクをクリックします。
   Cookie が secure = YES の JSessionID を示していることを確認します。

3. 手順 1 で作成したウィンドウ/タブを操作してみます。セッションの有効期限が切れています...

手順を繰り返し、手順 2 でhttps ://website/appY の代わりにhttps ://website/appX を使用すると、JSessionID Cookie は Secure=NO のままになります。

すべての Cookie には、最後に jvmRoute が追加された JSessionId があります。

--

私たちは使用しています：

Apache (2.2.3-43.el5_5.3) + mod_jk (スティッキー セッション付き) および複数の JBoss インスタンスに構成されたロード バランサー (v 4.3.0)。

まったく同じ問題のリンクしか見つかりませんでした (通常、他のリンクは PHP を使用しています): http://threebit.net/mail-archive/tomcat-users/msg17687.html

Q: JSessionId Cookie が書き換えられないようにするにはどうすればよいですか?

ページにログインしてからページデータの一部にアクセスするアプリケーションを開発しています。Firefox経由でログインし、LiveHeadersを使用してセッションCookieを表示します。

次に、コードを更新しました。

connection.addRequestProperty("Cookie", "XXXXXXXXXXXXXXXXXXXXX");

「XXXXXX」をCookieに置き換えます。その後、プログラムは必要なページにアクセスできます。

プロセスを自動化しようとしていますが、ApacheHttpClientを使用しています。ログインしてHttpClient経由でセッションCookieを取得できますが、何らかの理由で次の問題が発生します。

mainメソッドでは String cookieString = doLogin(); 、他のメソッドを追加してから、使用するように変更しました connection.addRequestProperty("Cookie", cookieString);

何らかの理由で、rheURLConnectionはログインできません。印刷した文字列をコピーしてcookieString、コードをに変更すると、 connection.addRequestProperty("Cookie", "[the printout of the cookie string]"); 機能します。

どこで問題が発生するのかわかりません。ヘッダーに追加される前にメソッドのcookieString変数を出力しましたが、それは本来あるべきものとまったく同じです。

Cookieは、静的文字列（ "xxxxxx"）の場合にのみ機能し、文字列変数の場合は機能しないようです。

任意のアイデアをいただければ幸いです。

前もって感謝します。

優先順位はどうSet-Cookie: VS jsessionid url token ですか？

Cookieが設定されている場合、ApacheTomcatはトークンを無視しているように見えます。ちょっと不便じゃないですか？それとも、セキュリティ上の理由からこのようになっていますか？

これはサーブレットのリクエストのURLです

結果のセッションのIDは、Cookieリクエストヘッダーパラメータに対応します。

これは、リクエストの処理を台無しにすることを意味します。たとえば、Spring-mvcは someParam値をに解決addFile;jsessionid=7A6ECCF009D4855821BCB45E0B744A7B'し、例外を除いてクラッシュします...

コンテキストを説明するために、私はサイトでのユーザーアクションを追跡するAPIを開発しています（非ユーザーも）。これまで、jsessionIdを使用して各ユーザーとそのアクションを識別してきました。

そのAPIは、TomcatとJBossで実行されるようになりました。

本当に重要な質問は、すべてのデータを1日1回分析するので、このjsessionIdの一意性が1日中保証されているかどうかです。または、同時にではなく、他のユーザーが以前に他のユーザーが使用したのと同じjsessionIdを取得できますか？

前もって感謝します。

アプリケーション リンクを Java - GWT カスタム ページにリダイレクトします。

ユーザーが私のアプリからログインするときはいつでも。ユーザーがボタンを押して（レコードを追加するなど）、リダイレクトが発生する必要があります。つまり、ページはアプリケーションリンクからGWTカスタムページにリダイレクトされます。

• アプリケーションリンクがボタンでヒットしたときにサーブレットを呼び出す方法は?
• その後、呼び出されたサーブレットから GWT ページを呼び出す方法。
• REQUEST に存在するデータを含む GWT カスタム ページを表示したい。

GI で開発された UI 画面で使用できる隠しフィールド。これらのフィールドは、アプリケーション リンクから起動された GWT カスタム アプリケーションに渡すことができます。

APP(UI) --> SERVLET ---> GWT ページ (リクエストにデータが存在する UI、つまり jsessionid、非表示フィールド)

web.xml で何を変更する必要がありますか?

役立つドキュメント、リンク、サンプル コード、アイデアを提供してください

最高の協力を願っています よろしくお願いします。

次のドメインで利用可能なTomcatのサービスがあります。

ここで、domain1の透過的な承認（Spring Security）が必要です。ユーザーがsub1.domain1.comにログインすると、sub2.domain1.comでも承認されます。

これは、Tomcatの設定で実行できます

ただし、すべてのJSESSIONID Cookieドメインが常に「.domain1.com」に設定されているため、sub1.domain2.comでの認証はまったく機能しません。

tomcatに現在のドメインの第2レベルのみをCookieに使用させるにはどうすればよいですか？

グーグルが私たちのサイトをクロールするとき、結果のURLはすべてそれらにjsessionid追加されます。これは、アプリサーバーがGooglebotでのCookieサポートの欠如を検出し、URL書き換えを介してセッションを維持することを強制しているために発生していますか？それについて私にできることはありますか？

解決策は単に電話をかけないことComponent.getSession()ですか？何かありHttpServletRequest.getSession(false)ますか？

編集：見つかったばかりorg.apache.wicket.Session.exists()

Weblogic 10.3 をローカルで実行していますが、Weblogic 10.3 が生成する sessionId について質問があります。session.getId() を印刷すると、次のようなものが表示されます。

BBp9TAACMTglQ2TDFAKR4tpyXg73LZDQJ2PtT9x8htG1tWY122aa!869187422!1308677666322

これらの感嘆符とそれに続くもの、具体的には 2 番目のペア: !1308677666322 ? サーバーがそれを追加する場合と追加しない場合があるようです。同じブラウザを使用してアプリに 2 回目にログインすると、weblogic がそれを追加すると思います。このクッキーは何らかの形で関連していますか?

JSessionIdは複数の関連のないドメインに関連しているため、JSessionIdの一意性と範囲を理解しようとしています。

JSESSIONIDはどのような条件で作成されますか？、そしてまだいくつかの質問があります-

具体的には：

ユーザーがにアクセスwww.app1.comし、そのアプリがwww.app2.comデータをロードするための呼び出しを行う場合、2つのjsessionIdが作成されます（ドメインごとに1つ）。

同様に、呼び出しがに発信されるとwww.app2.com、jsessionidに関する情報がwww.app1.com渡されますか？

リダイレクトはこれにどのような影響を与えますか？http://app1.com/login.jsp（例：へのリダイレクトのリクエストhttp://app2.com/login.jsp）

ユーザーが初めて私のサイトにアクセスしたときに、jsessionidセッション情報をCookieに依存するのではなく、Wicketで生成されたURLにが含まれていることに気付きました。

Cookieは正常に設定され、ユーザーが単にページをリロードするjsessionidと、URLに追加されなくなります。ここでこれをテストできます：pixlshare.com。画像リンクのいずれかにカーソルを合わせると、jsessionid;が付いたURLが表示されます。ページをリロードすると、jsessionidsが削除されます。

Wicket SEOページの以前の経験から、ボットからそれを隠すためにを削除する方法を知っていますjsessionidが、通常のユーザーにこの手法を採用することはハックのようです。それはまた、クッキーを無効にするのに十分な妄想的な人々のためにサイトを壊します。

これは、GlassfishからTomcatに最近移行した後に発生していますが、それが原因であるかどうかは定かではありません。また、Tomcatの前でApacheのmod_proxyを使用しています。