我的整个应用程序在ssl(https)上运行。我们使用tomcat7作为容器。现在在 context.xml 中我添加了以下配置,我希望在成功登录后,JSESSIONID将被更改 -
Valve className="org.apache.catalina.authenticator.BasicAuthenticator" changeSessionIdOnAuthentication="true" />
但遗憾的是jsessionid没有改变。在研究了几篇文章后,我才知道,只有当我们从http切换到https时,jsessionid才会被改变。所以,我相信当我的应用程序在https上运行时,jsessionid并没有改变。我是对的吗?
所以,我想要的是,jsessionid应该在成功完成身份验证并使用某种配置后进行修改。我可以使会话无效并在完成身份验证后创建新会话。但如果可能的话,我更喜欢使用配置。
谢谢, Kartic