为了提供一些上下文,我正在开发一个API来跟踪网站上的用户操作(也是用户)。到目前为止,我们使用jsessionId来识别每个用户及其操作。
该API现在可以在Tomcat和JBoss上运行。
真正重要的问题是,既然我们每天分析一次所有数据,那么这个jsessionId的唯一性在一天中是否得到保证?或者,不同时,其他用户可以获得其他用户之前使用过的jsessionId吗?
提前致谢。
答案 0 :(得分:7)
抱歉,没有指定。它只需要在那个时间点对于那个jvm是唯一的。也就是说,只要没有其他人有会话,会话ID就可以每天重复使用多次。我同意大多数实际实施可能提供更强的保证,但我认为你不能指望它。
看一下this mailing list - 其中人们讨论tomcat和resin中的会话id重用。
因此,基本上假设会话ID是唯一的,只有在会话被破坏之前才会生效。