配备TOMCAT SESSIONID 字符长度和生成算法

最新推荐文章于 2023-08-03 15:21:49 发布
最新推荐文章于 2023-08-03 15:21:49 发布
阅读量1.3k 收藏 1
点赞数
分类专栏: web服务器 文章标签: tomcat sessionid
配置TOMCAT SESSIONID 字符长度和生成算法
修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:

<Manager

sessionIdLength="20"

pathname="SESSIONS.ser"

maxActiveSessions="8000"

secureRandomAlgorithm="SHA1PRNG"

secureRandomClass="java.security.SecureRandom"

maxInactiveInterval="60"

/>

算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.

更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html

TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。

实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码

    /**

     * Generate and return a new session identifier.

     */

    protected String generateSessionId() {

        String result = null;

        do {

            if (result != null) {

                duplicates++;

            }

            result = sessionIdGenerator.generateSessionId();

        } while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的

        return result;

    }

所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。

因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等等。

chance87
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SessionUtil Tomcat 生成 session id 的算法
qq_43747091的博客
01-12 819
SessionUtil Tomcat 生成 session id 的算法
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则出现session冲突的问题
配置TOMCAT SESSIONID 字符长度生成算法
hck341204的专栏
12-24 331
修改TOMCAT 默认的生成SESSION ID的算法字符长度非常简单,只需修改context.xml中的标签值,比如: 标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节. 更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/...
Tomcat自动生成话JSESSIONID
m0_37695902的博客
08-11 4050
一、request.getSession(true)和request.getSession(false)的区别 request.getSession(true):若存在话则返回该话,否则新建一个话,默认为true; request.getSession(false):若存在话则返回该话,否则返回NULL; 当向Session中存放登录信息时,一般建议:HttpSessio...
Tomcat5.5.x配置整理 - 增强SessiionID的生成算法长度
我们已不在年轻
08-17 159
查看复制到剪切板打印 &lt;Manager     className="org.apache.catalina.session.StandardManager"     algorithm="SHA-512"     sessionIdLength="40"&gt;   &lt;/Manager&gt;   ...
Tomcat集群和Session复制应用介绍
09-05
Tomcat集群和Session复制是提升Web应用可用性和性能的重要手段。通过配置Tomcat集群,我们可以创建一个可以共享话信息的服务器网络,从而增强服务的可靠性和用户体验。理解并正确配置这些参数对于构建高可用的...
tomcat-redis-session-manager
06-06
实现这一功能的关键在于`SessionStore`接口,这是Tomcat提供的用于存储和检索session的接口。`tomcat-redis-session-manager`通过实现这个接口,将Redis作为session的后端存储。在配置过程中,我们需要在Tomcat的`...
tomcat session
04-28
apache-tomcat-7.0.56+nginx-1.8.0+redis-3.0.6集群部署所需JAR包,session共享 tomcat-redis-session-manager1.2.jar jedis-2.6.2.jar tomcat-juli.jar tomcat-juli-adapters.jar commons-pool-1.5.4.jar commons...
使用 Redis 共享存储 Tomcat Session 的整合实现
最新发布
11-17
本资源通过Redisson组件实现Tomcat的非黏性话管理功能,支持多个Tomcat共享存储Session话信息,支持Tomcat的6.x、7.x、8.x版本,支持JDK1.8+或JDK1.6+环境。Redisson通过重定义Session相关类方法的方式实现...
tomcat中JSESSIONID生成原理以及条件
zlbook的博客
03-01 2万+
序言: 写这个文章的目的,就是把平时学习的一些东西做个笔记,以防以后忘记和查找方便使用。感兴趣的同学可以通过本文对tomcat中的session机制进行了解。写的不好之处请见谅。 1、session和cookie的基础 由于http协议是无状态的协议,为了能够记住请求的状态,于是引入了Session和Cookie的机制。我们应该有一个很明确的概念,那就是Session是存在于服务器端的,在单
话劫持: Session劫持与Session-ID的安全长度
nethub2的专栏
01-01 1368
http://ourjs.com/detail/54f3f638232227083e00003b   Session劫持 Session劫持从Web Session控制机制处发动攻击,通常是对Session令牌管理的剥夺。 因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。...
tomcat设置JSessionID长度问题
wangjian20000的专栏
01-14 1058
tomcat设置JSessionID长度问题
Session劫持与Session-ID的安全长度
weixin_33853794的博客
01-28 430
Session劫持Session劫持从Web Session控制机制处发动***,通常是对Session令牌管理的剥夺。因为HTTP通信使用许多不同的TCP连接,Web服务器需要一个方法来识别每个用户的连接。最有用的方法是当一个客户端成功认证后,该Web服务器向该客户端浏览器发送令牌。Session令牌通常由可变长度字符串组成,并且它可以以不同的方式存储,如在URL中,在H...
[tomcat]-tomcat8启动时SessionIdGeneratorBase.createSecureRandom耗时
爷来辣的博客
03-04 1035
tomcat8启动时SessionIdGeneratorBase.createSecureRandom耗时 14-Jul-2016 04:14:22.900 INFO [localhost-startStop-1] org.apache.catalina.util.SessionIdGenerator.createSecureRandom Creation of SecureRa ndom in...
thinkphp3.2更改sessionid长度
You are happier than before
06-10 495
PHP官方给的session配置里,有个参数session.sid_length可以控制,要PHP7.1版本及以上。 而我的环境是PHP5.6,所以不能用上面的配置来实现。 我的具体实现步骤: 1.thinkphp3.2配置文件里增加配置 'SESSION_OPTIONS' => [ 'id' => uniqid() . str_shuffle('1234567890abcdefghijklmnopqrstuvwxyz') ] 2.完成第一步后,sess
优化tomcat启动时SessionIdGeneratorBase.createSecureRandom过慢的问题
qq_31926617的博客
08-03 302
这个问题通常与系统熵源(entropy source)有关,特别是在某些Linux系统中,SecureRandom标准实现使用 /dev/random 作为熵源。然而,在某些情况下,/dev/random 可能无法快速地提供足够的随机数据,导致生成随机数慢。注意:虽然/dev/urandom不阻塞,并且在大多数情况下都足够安全,但它可能提供比/dev/random稍低的随机性。一个常见的解决方案是修改JVM参数,使其使用非阻塞熵源 /dev/urandom 来生成安全随机数。
Tomcat 8熵池阻塞变慢详解
热门推荐
chszs的专栏
10-29 3万+
Tomcat 8熵池阻塞变慢详解作者:chszs,转载需注明。博客主页:http://blog.csdn.net/chszsTomcat 8启动很慢,且日志上无任何错误,在日志中查看到如下信息:Log4j:[2015-10-29 15:47:11] INFO ReadProperty:172 - Loading properties file from class path resource [r
tomcatsessionid配置
08-09
Tomcat中,可以通过配置文件来设置SessionID生成方式。 Tomcat使用JSESSIONID作为Session的标识符,它经常作为Cookie的一部分发送给客户端浏览器。默认情况下,Tomcat使用Java的随机数生成器来生成JSESSIONID。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值