CAS认证通过后Url中出现“;jsessionid”问题

最新推荐文章于 2024-05-08 15:24:52 发布
最新推荐文章于 2024-05-08 15:24:52 发布
阅读量3.4k 收藏 8
点赞数 1
分类专栏: 开发工具手册 文章标签: java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jingyesi2502/article/details/120984749
版权

综述

问题原理解析

首先“;jsessionid”参数是服务器端生成的,生成逻辑参考下图:

1、client向server发送请求http://localhost:8081

               2、server端经由shiro进行内部内部URL重定向至http://localhost:8081/login

               3、server收到http://localhost:8081/login请求后,发现请求头中没有cookie(因为这次请求是server内部重定向的),那么server就认为client端禁用了cookie,并且为这次会话产生唯一标示即SESSIONID,并将SESSIONID追加到http://localhost:8081/login,作为response响应给client。如图:

               4、client收到server的响应后,以http://localhost:8081/login;JSESSIONID=XXX 为URL进行请求重定向(上图中302是重定向的状态码),最后展示出登陆页,如图:

                        

               5、提交登陆信息后,server从请求信息中发现了cookie(因为这次请求是client发出的而非server内部重定向),会认为client没有禁用cookie,就不会进行URL重定向,而是将SESSIONID放入cookie之中,所以之后的请求URL就无需追加URL,如果此时手动删除client端的cookie,重新请求http://localhost:8081,就会发现SESSIONID再一次被追加到了URL后面。


————————————————
版权声明:本文为CSDN博主「木子樾」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。
原文链接:https://blog.csdn.net/qq_32891219/article/details/83024559

解决方案

方法一 application.yml 里设置

springBoot2.0之前版本

server:
  port: 80
  servlet:
    session:
      tracking-modes: cookie
      cookie:
        http-only: true

方法二 启动类继承SpringBootServletInitializer 类,重写 onStartup 方法

(此方法在springBoot2.0之前版本没有起作用,暂时做记录)

@SpringBootApplication(exclude = DataSourceAutoConfiguration.class)
public class NdaDemoApplication extends SpringBootServletInitializer {

    public static void main(String[] args) {
        SpringApplication.run(NdaDemoApplication.class, args);
    }
    public void onStartup(ServletContext servletContext)throws ServletException {
        super.onStartup(servletContext);
        servletContext.setSessionTrackingModes(Collections.singleton(SessionTrackingMode.COOKIE));
        SessionCookieConfig sessionCookieConfig = servletContext.getSessionCookieConfig();
        sessionCookieConfig.setHttpOnly(true);
    }
}

参考:https://blog.csdn.net/weixin_37380784/article/details/84953808

其他未尝试

public static final String cleanupUrl(final String url) {                                                                                                                                                         
        if (url == null) {
            return null;
        }
 
        final int jsessionPosition = url.indexOf(";jsession");
 
        if (jsessionPosition == -1) {
            return url;
        }
 
        final int questionMarkPosition = url.indexOf("?");
 
        if (questionMarkPosition < jsessionPosition) {
            return url.substring(0, url.indexOf(";jsession"));
        }
 
        return url.substring(0, jsessionPosition)
            + url.substring(questionMarkPosition);
    }

jingyesi2502
关注
  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
jsessionid存在的问题及其解决方案
03-16
NULL 博文链接:https://mysun.iteye.com/blog/413836
cas进行sso单点登录,解决重定向url带 ;jsessionid=xxx,url路径不合法的问题
qq_23730693的博客
03-01 1773
cas进行sso单点登录时,解决重定url带 ;jsessionid=xxx,url路径不合法的问题 Servlet3.0规范的允许你定义JSESSIONID是存储在cookie还是URL参数。如果会话ID存储在URL,那么它可能会被无意的存储在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持攻击的几率大增。  我这边的解决方式分为开发环境(springBoot自身嵌套的tomcat的)方式一,正式环境(服务器是独立的tomcat)方式二
CAS单点登陆,URL多出个参数jsessionid导致登陆失败问题
angjiu8534的博客
02-09 1215
目录: 1.定位问题 2.问题产生的原因 3.解决问题 一 定位问题   首先,如下图所示:输入到地址栏的地址被302重定向到单点登录地址,地址由Response Headers的参数Location所指定,勾选Preserve log,保存跳转之前的请求轨迹。   接下来,如下图所示:浏览器访问带 ?service=*** 的单点登录地址来请求登录页,在返回的R...
jsessionid的作用
雪域飞鸿
01-10 2204
在web应用的开发我们会经常看到这样的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x...。这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid=xxxxxxxx”。这个参数有时候有,有时候又没有,说它是参数可又跟一般传递的参数不同,它是紧跟在url后面用分号来分隔的,用一般的request.getP
casurl去掉jsessionid
weixin_30340617的博客
11-30 1888
Servlet3.0规范的<tracking-mode>允许你定义JSESSIONID是存储在cookie还是URL参数。如果会话ID存储在URL,那么它可能会被无意的存储 在多个地方,包括浏览器历史、代理服务器日志、引用日志和web日志等。暴露了会话ID使得网站被session劫持攻击的几率大增。  在用CAS做系统单点登录时,在成功的跳转后,链接会带上;jse...
Shiro跳转登录url后面会加上JSESSIONID导致报错
Java精灵
08-27 649
想要去掉JSESSIONID就需要重写会话管理器。
JSESSIONID 作用
太阳晒屁股了的博客
02-22 1907
1)第一次访问服务器的时候,会在响应头里面看到Set-Cookie信息(只有在首次访问服务器的时候才会在响应头出现该信息) 上图JSESSIONID=ghco9xdnaco31gmafukxchph;Path=/acr,首次访问服务器时服务端创建session,HttpSession session = request.getSession(); 当这句代码需要创建session的时候,...
解决cas客户端地址栏带jessionId刷新无法跳转到登陆页的问题
chen_bo526的博客
01-10 1826
一、问题出现 springboot项目集成了cas,清除缓存,想要跳到登陆页面,但是由于地址栏带有jessionId标识,导致无法正常跳转。 Jsessionid只是tomcat的对sessionid的叫法,其实就是sessionid;在其它的容器也许就不叫jsessionid了 原因: 首先这是一个保险措施 因为Session默认是需要Cookie支持的,但有些客户浏览器是关闭Cook...
SSM整合Shiro认证授权的时候出现 JSESSIONID
CalledJoker的博客
01-21 625
问题描述: 整合 shiro 后,访问 localhost:8080 应该跳到 login.jsp 页面,但是给报了个 400,地址也转跳到了:http://localhost:8080/login;jsessionid=A9FB253EFF38D1D4F5AC835C36504DEB,自动在请求地址 url 添加 jsessionid 截图如下: 解决: 在配置文件添加这段代码: <!-- 会话管理器 --> <bean id="sessionManager" class=
tomcat修改jsessionid在cookie的名称
04-14
tomcat修改jsessionid在cookie的名称
获取JsessionId
03-24
重定义URL 使其直接进去网页 不用登录 用于:邮件链接直接进入网站
javaCookie被禁用后Session追踪问题
01-01
一.服务器端获取Session对象依赖于客户端携带的CookieJSESSIONID数据。...在 Session1Servlet,使用response.encodeURL(url) 对超链接路径拼接 session的唯一标识 // 当点击 的时候跳转到 sess
android获取jsessionId和发送jsessionId
05-30
android获取jsessionId和发送jsessionId
cas 认证流程以及原理
不忘初心,方得始终
04-11 5710
单点登录原理: 第一次登录 某用户访问a系统的资源,会被cas客户端拦截,cas检测到没有JSESSIONID,于是转发到cas服务器,cas服务器检测到请求没有携带TGT信息,于是返回登录页面(并返回一次性回话id),用户输入完后点登录,再次请求到cas服务器,服务器验证用户通过后,返回一个service和ticket(其实就是链接地址,由service和ticket拼接,service...
CAS client单点登录失败
GuanHao的博客
07-03 4650
问题:接入多个CAS client只能各自认证,不能单点登录 按照之间的流程部署了CAS server,接入了两个CAS client,但是发现只能各自认证自己,同时生成自己的TGC,无法做到相互单点登录。 原因:CAS client配置CAS server的服务地址不相同 APP1配置的是CAS server的域名,APP2配置的是CAS server的IP地址。由此导致APP1...
java jar包如何运行或调用
最新发布
NLP与推荐算法
05-08 200
java服务启动
JAVA 学习·泛型(二)——通配泛型
wr114514的博客
05-02 1076
介绍了Java泛型的重要知识点——通配泛型及其应用。
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。
XING的博客
05-03 1200
基于Springboot的旅游管理系统(有报告)。Javaee项目,springboot项目。数据库作为系统数据储存平台,实现了基于B/S结构的Web系统。界面简洁,操作简单。采用M(model)V(view)C(controller)三层体系结构,通过。
jmeterjsessionid
03-12
在JMeterjsessionid是用于在Web应用程序跟踪用户会话的一种机制。它是通过在HTTP请求添加一个名为"JSESSIONID"的Cookie来实现的。 当用户首次访问Web应用程序时,服务器会为该用户分配一个唯一的会话ID,并将其存储在服务器端。随后,服务器会将该会话ID通过响应的Cookie头部发送给客户端浏览器。浏览器在后续的每个请求都会自动将该Cookie头部带上,以便服务器能够识别并跟踪用户的会话。 在JMeter,你可以使用HTTP Cookie管理器来模拟jsessionid的行为。通过在测试计划添加HTTP Cookie管理器,并配置它与HTTP请求一起使用,JMeter将自动处理jsessionid的传递和管理。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值