我正在一个相当大的网站上工作。到目前为止,服务器和Web客户端之间的完整交互是通过JSESSIONID cookie和应用服务器上的内存会话对象来管理的。但现在我想将我的网站的一部分移动到无用的REST API。为此,我必须在Cookies中管理REST API访问令牌。由于我不能将我的完整网站移动到基于REST API的架构,我的网站的大部分内容将继续使用基于会话的功能,因此我不能在很长一段时间内取消使用JSESSIONID cookie。现在的问题是,基于JSESSIONID的Cookie将自动被所有REST API调用中选中,这是我不想要的,因为REST调用中基于会话的Cookie会将调用绑定到维护该会话的特定应用程序服务器,并且在某种意义上不会让应用程序利用REST的无状态特性及其分布式架构。 有没有办法可以阻止基于会话的Cookie应用于REST调用,这样REST调用只会获取Access-Token cookie而不会获取JSESSIONID Cookie。请注意,JSESSIONID Cookie和Access-Token Cookie都应用于同一个域,JSESSIOND cookie应用于根上下文路径下的所有子路径。此外,所有Cookie,JSESSIONID Cookie以及Access-Token Cookie都是HttpOnly。