我正在创建一个部署在Tomcat / EE中的JSF应用程序(使用CLIENTCERT)。默认情况下,jsessionid
(使用SecureRandom生成,因此看起来很安全)是在网址中设置的,我通过更改security reasons来禁用SessionTrackingMode。
现在我试图找到使用的安全优势/劣势:
<tracking-mode>SSL</tracking-mode>
与<tracking-mode>COOKIE</tracking-mode>
(考虑到安全性几乎总是对性能和其他变量产生影响)。可能其中一个问题是我不知道SSL跟踪模式究竟做了什么。 This API documentation不是很清楚。
我应该何时使用其中一种?
PS:我知道这不是Tomcat或JSF的特定内容,但我需要给出问题的上下文
答案 0 :(得分:6)
我建议在SSL会话跟踪中使用基于cookie的会话跟踪,原因如下:
FWIW,IBM WebSphere has dropped support for SSL-based session-tracking,版本7.0(大约2008年)。
我没有看到使用基于SSL的会话跟踪的任何优势。
答案 1 :(得分:1)
我想在@Christopher Schultz的回答中添加一些细节。
@ViewScoped
,然后在使用不安全的HTTP时会遇到问题,因为如果没有TLS / SSL,JSF将无法跟踪会话。因此,如果您需要具有需要跟踪会话的范围的JSF,并且需要对您的应用程序进行HTTP访问,那么您应该进行COOKIE跟踪。另一方面,如果您始终使用HTTPS,或者不需要例如@ViewScoped
,然后SSL跟踪完全正常。