我有一个在Apache Tomcat中运行的旧servlet应用程序。该应用程序使用会话在请求之间存储一些数据。会话数据由session manager与REDIS存储,但cookie JSESSIONID仍用于会话跟踪中。
我想将此应用程序集成到使用Bearer令牌认证的微服务环境中。
是否可以使用令牌中的subj作为会话ID,而不是通过Cookie值生成/传递?
我在org.apache.catalina.connector.CoyoteAdapter#postParseRequest中找到了会话ID提取
// Look for session ID in cookies and SSL session
parseSessionCookiesId(request);
parseSessionSslId(request);
sessionID = request.getRequestedSessionId();