启用https后,登录后cookie改变导致自动登出的问题

最新推荐文章于 2024-05-18 12:35:19 发布
最新推荐文章于 2024-05-18 12:35:19 发布
阅读量975 收藏
点赞数
分类专栏: tomcat ssl 文章标签: https cookie tomcat
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ljq354004063/article/details/103013819
版权

有一个jsp+servlet 架构的项目,发布到外网后,直接在tomcat部署ssl证书后发现,每次登录校验成功之后,请求到首页后,cookie的JSESSIONID改变,随即登出。

tomcat的server.xml配置如下:

<Connector port="8453" protocol="org.apache.coyote.http11.Http11Protocol"
               maxThreads="150" SSLEnabled="true" scheme="https" secure="true"
               keystoreFile="/u01/apache-tomcat-7.0.94/conf/cert/xxx.com.cn.pfx"
               keystoreType="xx"
               keystorePass="xxx"
               clientAuth="false" sslProtocol="TLS" />

在tomcat的web.xml配置cookie后,问题解决:即启用了https的cookie

<session-config>
        <session-timeout>30</session-timeout>
		<cookie-config>
            <secure>true</secure>
            <http-only>true</http-only>
         </cookie-config>
    </session-config>

理论上,不配置secure为true,在http和https下cookie都应该可以正常创建,因此具体原因待查。但目前这种配置可以解决。

 

另外相同的项目在nginx下,

用nginx配置ssl证书,

不带项目名称(将项目作为root)可以正常登录;

带项目名称就会出现相同的问题,登录后cookie改变,无法获取session自动登出。

而另外一个spring boot的项目打的war包则完全正常。

具体原因也待查找。

ljq354004063
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网站启用https后的SSL的安全配置和检测
09-30
现在的网站通常开启SSL已经是标配了,不过,配置好了SSL后,还需要判断一下服务器部署的是否安全,如果没有配置好的话,会带来很多安全隐患
前端页面路由与浏览器cookie的坑
GahoYeung的博客
11-04 592
问题现象: 用户访问 /asd 重定向到/asd/user/login,因为第一次打开所以鉴权失败,登录后把 session 存到 cookie 中并且页面路由切换到 /asd/home/index, 此时在 /asd/home/index 刷新窗口重新访问,会跳转到 /asd/user/login,这是不正常的,并且查询 cookie 为空,这也不正常,因为并没有做清除 cookie, 诡异的事情出现了,此时在 /asd/user/login 刷新窗口重新访问,会成功鉴权并跳转到 /asd/hom.
cookie中存储的值设置httponly和secure
qq_28600087的博客
02-27 5773
最近公司的项目有要求将sessionid做成httponly和secure可配置的设定。 首先什么是httponly和secure呢?是cookie中的两个属性 当设置了httponly为true时,通过js脚本是无法获取到cookie的信息的。防止XSS攻击。 secure为true时,服务只能通过https来进行cookie的传递,使用http服务无法提供服务。 设置sessionid...
cookie放在请求头_彻底弄懂session,cookie,token
weixin_39995943的博客
11-19 1384
作者:心难收来源:https://segmentfault.com/a/1190000017831088简述我在写之前看了很多篇session,cookie的文章,有的人说先有了cookie,后有了session。也有人说先有session,后有cookie。感觉都没有讲的很清楚,泛泛而谈。希望本篇文章对大家有所帮助注:本文需要读者有cookie,session,token的相关基础知识...
安全基础 --- https详解(02)、cookie和session、同源和跨域
weixin_62443409的博客
08-28 6323
类型为“小型文本文件”,是某些网站为了辨别用户身份,进行session跟踪而存储在用户本地终端上的数据(通常经过加密),由客户端计算机临时或永久保存。在计算机中,尤其是在网络应用中,session被称为“会话控制是服务器为了保存用户状态而创建的一个特殊的对象同源指的是:协议、地址、端口三者都相同例:以上情况可说明ajax请求地址与当前url同源跨域,是指浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器对JavaScript实施的安全限制。
关于HTTP与HTTPScookie
weixin_44258947的博客
01-13 406
关于HTTP与HTTPScookie
基于https系统自动登陆与动态数据处理
shiling_02404的专栏
06-16 1920
由于登陆https时会需要证书,我们在登陆时有时候会遇到异常:System.Net.Sockets.SocketException,Message="由于目标机器积极拒绝,无法连接。",这可能是由于证书名称不匹配的原因,如果您无法配置远程处理客户端以使用证书公共名称,则可以使用客户端应用程序配置文件中的以下设置重写这一不匹配的情况。                  checkCert
Cookie、 Session和 Cache
onlypity9的专栏
01-28 593
一、 中文译名    Cookie: 小饼干? 偶用尽所有的方法都没有找到其中文译名, 就连偶一直非常信任的金山词霸对其也只是一段解释而非译名。(如果哪位高人能译出,请一定要告知金山公司让他们去更新词库)  Session:会话   Cache:高速缓冲存储器   二、 工作机制   Cookie:采用的是客户端保存信息的方案。  Session:采用服务器端保存信息的方案。 
Http和Https下的cookie(cookie 无法写入浏览器)
热门推荐
fatherican的专栏
07-20 1万+
今天遇到一个问题,浏览器无法接受服务器添加的cookie.     当我配置了HTTPS以后,发现浏览器可以接收cookie了。经过排查代码发现,服务器设置了cookie的secure为true导致,针对HTTP 和 HTTPS下的cookie,有如下特点。 ================================================       HTTP
设置自动启用宏.exe
03-08
设置自动启用宏.exe
express启用https使用小记
10-16
主要介绍了express启用https使用小记,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
开机自动启用本地连接,用cmd禁用启用本地连接
09-30
服务器上有管理软件需要经常添加ip地址后注册,经常用到本地连接属性很容易按错按钮。如果能重启系统自动启用网络链接就好了
SpringBoot2.0如何启用https协议
08-27
主要介绍了SpringBoot2.0如何启用https协议,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 Cookie “JSESSIONID”。
m0_61237221的博客
01-17 1万+
记一次无法登录tomcat部署的wepapp页面,用户密码都是对的,验证码也是输入正确,但是页面报错提示是验证码不正确。用火狐开发工具查看出现以下报错 由于非 HTTPS Cookie 无法设置“secure”属性,已拒绝 Cookie “JSESSIONID”。 解决办法: 查看tomcat配置文件,发现自己启用cookie的HttpOnly属性,接下来就把他关闭掉。 1、修改$CATALINA_HOME/conf/context.xml,把<Context useHttpOnly="
cookie secure属性 导致setcookie失败
aiyuancheng8814的博客
07-10 1181
客户网站出现了问题, 经查看是cookie里面的参数没有传送到后台, 看header后台又有发送设定cookie的header, 但是浏览器端cookie就是没有设置成功, 后来注意到header的Set-Cookie:参数后面有带着secure的属性, 搜索后知道, 设置了secure属性的cookie只能用https协议发送给服务器, 而当时客户的网站是http的, 导致了服务...
http cookie设置失效
BBinChina的专栏
04-07 2111
文章目录问题:解决方式:301永久跳转302临时跳转 问题: 正常web端均会支持 http跟https,可如果后台统一采用https的请求,那么会造成一个问题就是http访问时,cookie设置失败,导致登录过后,cookie失效仍然提示需要登录。 造成这个问题的本质原因是: https访问的时候,返回的cookie设置了secure=1, 切换成http访问的时候, 这个时候不能操作那个cookie了,导致这个时候服务端返回的cookie不生效。导致登陆不了。 解决方式: 通过配置nginx 采用 ht
http和https网页切换导致cookie失效问题
06-26 5345
网站先后从https和http方式登陆网站,会导致http中cookie无法生效,即https覆盖和http但作用域只在https中,在http中浏览器debug中查看不到相关cookie。之前遇到这个问题,网站登录和跳转出现问题,如果不仔细观察和思考很不容易发现以为是程序bug。其实也可以从web服务器配置入手杜绝,比如nginx配置http到https重定向。 ...
部分浏览器 set-cookie 不成功踩坑记录
heidou_2016的博客
11-05 5990
在WEB应用中,对于敏感业务,如:登录或者付款,需要使用HTTPS来保证内容的传输安全,而在用户成功获得授权之后,获得的客户端身份cookie如果没有设置为Secure,那么很有可能会被非HTTPS页面拿到,从而造成重要的身份泄露。公司正在做一个sso的单点登录的项目,做完之后,在测试阶段,不同的终端的兼容测试时候,好几个不同的浏览器出现了不同的问题,有登录之后自动退出,有登陆不成功等问题。而最终引发问题的原因是 set-cookie 中的 samesite 的兼容性引起的。
网络:HTTPS的加密
最新发布
li209779的博客
05-18 1016
本文是对于https加密的知识总结以上就是我对于HTTPS的知识总结。
redis的服务设置自动后没有自动启用
04-30
Redis是一个开源的内存数据结构存储系统,它的速度非常...总之,Redis没有自动启用可能是由于多种原因导致的,我们需要仔细检查配置文件和端口占用情况,如果仍然无法解决问题,我们可以手动启用Redis服务来解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值