SessionTrackingMode允許您指定Servlet會話綁定到SSL會話。 Tomcat支持這Tomcat SSL HOW-TO。在Jetty中是否有任何機制可以實現這一點?Jetty是否支持SessionTrackingMode.SSL
例如,如果我在我的Servlet init中執行以下操作;
@WebServlet(urlPatterns ={ "/session_test" })
公共類SessionTestServlet延伸的HttpServlet {
private static final SessionTrackingMode[] modeArray = { SessionTrackingMode.SSL };
private static final Set<SessionTrackingMode> SESSION_TRACKING_MODES = new HashSet<>(Arrays.asList(modeArray));
@Override
public void init(ServletConfig config) throws ServletException {
super.init(config);
config.getServletContext().setSessionTrackingModes(SESSION_TRACKING_MODES);
}
則不創建會話。
謝謝,我只是探索機制,以防止會話Id劫持。我也在測試存儲服務器端會話的javax.servlet.request.ssl_session_id,並檢查它是否如預期的那樣。是的,SSL會話與App會話範圍是一個棘手的問題。 – JFK 2014-10-02 10:04:36