同一个ip但不同端口上的两个服务器之间的JSESSIONID冲突
我有一种情况,我在一台服务器上运行两个不同的webapps,使用不同的端口。 它们都运行Java的Jetty servlet容器,因此它们都使用名为JSESSIONID的cookie参数来跟踪会话ID。 这两个webapps正在争夺会话ID。
- 打开Firefox选项卡,然后转到WebApp1
- WebApp1的HTTP响应具有JSESSIONID = 1的set-cookie标头
- Firefox现在在WebApp1的所有HTTP请求中都有一个带有JSESSIONID = 1的Cookie标头
- 打开第二个Firefox选项卡,然后转到WebApp2
- 对WebApp2的HTTP请求还有一个带有JSESSIONID = 1的Cookie头,但在doGet中,当我调用
req.getSession(false);我得到了。 如果我调用req.getSession(true)我会得到一个新的Session对象,但是WebApp2的HTTP响应有一个带有JSESSIONID = 20的set-cookie头。 - 现在,WebApp2有一个工作会话,但WebApp1的会话已经消失。 转到WebApp1会给我一个新的会话,吹走WebApp2的会话。
- 永远继续
所以Sessions在每个网络应用程序之间徘徊。 如果已经定义了JSESSIONID cookie,我真的希望req.getSession(false)返回一个有效的会话。
一种选择是基本上用HashMap和名为WEBAPP1SESSIONID和WEBAPP2SESSIONID的cookie重新实现Session框架,但这很糟糕,这意味着我必须将新的Session内容破解到ActionServlet和其他一些地方。
这一定是其他人遇到的问题。 Jetty的HttpServletRequest.getSession(boolean)是不是很糟糕?
我遇到了类似的问题:在不同端口上的localhost上有一个或多个相同应用程序的实例,在应用程序启动时选择,每个实例都使用自己的jetty实例。
过了一会儿,我想出了这个:
- 等待docker初始化
- 使用jetty的SocketManager来获取端口(
socketManager.getLocalPort()) - 通过SessionManager设置cookie名称
(sessionHandler.getSessionManager().setSessionCookie(String))
这样我每个实例都有一个不同的cookie名称 – 因此不再有干扰。
这不是Jetty的问题,而是cookie规范的定义方式。 在名称/值对旁边,cookie还可以包含过期日期,路径,域名以及cookie是否安全(即仅用于SSL连接)。 上面没有列出端口号;-)所以你需要改变路径或域名,正如stepancheg在他的回答中所说的那样。
在我们的例子中,我们使用的是Tomcat,因此解决方案是在每个实例上使用不同的会话cookie名称。
在context.xml做类似的事情
我一直在挖掘,我发现在AbstractSessionManager ,有一个名为getCrossContextSessionIDs()的方法。 如果它返回true ,那么在创建新会话时,Jetty将首先检查是否设置了JSESSIONID,并尝试使用该现有会话ID。 我想我可以在启动时使用某种java属性将值设置为true 。
进一步挖掘,这只会帮助我,如果我在同一个Jetty的不同上下文中运行两个webapp(因此,跨上下文)。 创建新的Session对象时,会选择新的JSESSIONID值。 如果getCrossContextSessionIDs()返回true ,那么它将检查当前的JSESSIONID值是否是由此Jetty(包括所有其他上下文)创建的,如果是,它将重用它。
由于我正在处理在两个不同端口上运行的两个不同的Jetty实例,因此我需要破解Jetty的源代码,以便不进行检查,或者只是制作我自己的类似会话的框架。
这是正确的行为。 您可以将两个Web应用程序放在不同的域中,也可以放在不同的路径上。
我相信你也可以设置jsessionid cookie路径。