Tomcat，从HTTPS迁移到HTTP时保持会话

我有一个在Tomcat 6.0.29上运行的Java应用程序，前面有Apache 2.2.3。登录页面使用HTTPS，而大多数页面使用HTTP。

如果用户尝试访问受登录保护的页面（HTTP），则会将其重定向到登录页面（HTTPS），登录，然后重定向回原始请求的页面。这很好用，因为JSESSIONID cookie设置为非安全，并用于HTTP和HTTPS。

但是，如果用户在登录页面（HTTPS）启动，则JSESSIONID cookie设置为Secure，因此在重定向到HTTP下的页面时，登录后会话不可用，强制新会话并再次重定向到登录页面。这次它可以工作，因为这次JSESSIONID cookie被设置为非安全。

如何避免用户首次登录登录页面时必须登录两次？

（更新：为清晰起见） 从登录Http get / post开始使用https并在用户的登录会话中使用https。

仅在没有登录用户时使用Http。

有一个原因是cookie不允许跨越协议边界 – 它是一个攻击向量！（*见下面的更新）

怎么做这个非常糟糕的主意

如果你真的坚持，请将重定向中的jsessionId编码为http url（或者始终在url中编码jsession id）。当Tomcat获得http重定向时，tomcat应该找到会话并继续。

为什么你不应该这样做

说真的，任何在同一页面上混合使用https和http内容的网站只会打开各种有趣（和简单）的攻击。

如果会话的其余部分是明文，则从https继续保持登录“安全”毫无意义。那么用户名/密码（可能只是密码）受到保护的是什么？

使用常见的中间人攻击，攻击者只需复制会话ID并使用它来获得乐趣。由于大多数站点不会使保持活动的会话过期，因此MIM实际上具有完全访问权限，就好像他们有密码一样。

如果您认为https在性能方面很昂贵，请查看此处或仅搜索。将https性能提高到可接受的最简单方法是确保服务器在连接上设置keep-alive。