au(KDDI)的非智能手机的cookie保存方式,HTTP和HTTPS是不一样的:
HTTPSの場合、端末にcookie保存
HTTPの場合、GWサーバーにcookie保存
这样就会造成HTTPS和HTTP的session id不一致。
那么,在HTTPS里存的session数据在HTTP里找不到;
在HTTP里存的session数据,在HTTPS里也同样找不到。
在应用里,一般体现为“ 没法登陆”、“没法退出”、“sesssion数据丢失”、“没法从购物车迁移到结账”等。
我采用的解决方法是:
在所有的URL里加上jsessionid。
那样的话,在页面迁移时,不管是HTTP -> HTTPS ,还是 HTTPS -> HTTP,始终会在URL里持有session id,
即便HTTPS和HTTP的cookie保存的地方不一致,没法从cookie里取到session id,依然可以从URL里取到session id。
那样的话session id的值应该是一致的,也就是session里保存的数据是在HTTP和HTTPS共享的。
这样基本就可以解决了。
PS:另外在调查这个问题的时候,看到某博主的文章和评论,似乎是解决类似问题的,大家可以参考一下。
http://java-guru.iteye.com/blog/157897#bc520405
这篇博客里提到,为了增强安全性,从tomcat 4.0开始,在https协议下生成的cookie不会被传递到http协议。
也就是从HTTP迁移到HTTP时,session id不会被写到cookie里。
而博主的解决办法是自己在filter里把session id写到cookie里。
这种做法或许更好,尤其在普遍能使用cookie的PC和Smart Phone里,不把session id显示在URL里还是首选的。