设置TOMCAT SESSIONID 字符长度和生成算法

最新推荐文章于 2024-02-21 08:22:41 发布
最新推荐文章于 2024-02-21 08:22:41 发布
阅读量833 收藏
点赞数 1
文章标签: tomcat firefox python
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/oligaga/article/details/132637167
版权

修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:

<Manager 

sessionIdLength="20" 

pathname="SESSIONS.ser" 

maxActiveSessions="8000" 

secureRandomAlgorithm="SHA1PRNG" 

secureRandomClass="java.security.SecureRandom" 

maxInactiveInterval="60"

/>

标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.

更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html

TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。

实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码

    /**

     * Generate and return a new session identifier.

     */

    protected String generateSessionId() {

        String result = null;

        do {

            if (result != null) {

                duplicates++;

            }

            result = sessionIdGenerator.generateSessionId();

        } while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的

        return result;

    }

所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。

因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用 java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等 等。

oligaga
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
springboot服务认证方式Tomcat中session创建管理流程分析
wangfenglei123456的博客
01-18 976
本文介绍springboot项目采用spring-security认证,传递token,session的生成流程,分析源码创建过程。 最主要的入口在org.springframework.security.oauth2.provider.authentication.OAuth2AuthenticationProcessingFilter#doFilter 这个请求过滤器中。具体访问流程如下 Tomcat接收请求进入org.apache.catalina.authenticator.Authentic
解密Springboot内嵌Tomcat
yasin的技术博客
06-25 7975
Springboot简介 相信大多数开发者对Springboot比较熟悉了,它能够快速地创建一个spring应用,能够完全摒弃XML的配置方式,并且内嵌了Tomcat、Jetty这样的Servlet容器,即无需再将应用打包成war部署。 在Springboot之前,部署一个应用如下 而现在,由于Springboot内嵌了Servlet容器,于是可以将应用打包成jar,直接运行一个jar包就能启动一个web服务。 Springboot是如何做到的呢?接下来进入今天的正题 Tomcat-embed Sprin
如何在Tomcat中配置和使用Session共享!
最新发布
乔木的博客
02-21 1257
当用户首次访问Web应用程序时,Tomcat会创建一个新的会话,并生成一个唯一的Session ID来标识这个会话。默认情况下,每个Web应用程序都有自己的Session存储空间,这意味着不同应用程序之间无法直接共享Session数据。为了实现Session共享,我们需要进行一些配置上的调整。配置Tomcat以实现Session共享要实现Session共享,我们可以使用Tomcat的Manager接口和JMX(Java Management Extensions)使用Tomcat Manager接口。
【spring-boot】自动配置【spring-session】 过程
sayyy的专栏
04-15 2882
前言 springboot项目 仅引用 spring-session-core 开发者自己提供 SessionRepository spring-boot 项目启用 spring-session spring-boot 项目引入spring-session-core: <dependency> <groupId>org.springframework.session</groupId> <artifactId>spring-session-
使用Tomcat设置Session
潘飞龙的博客日记
03-28 895
使用Tomcat设置Session 步骤一:部署前端Nginx调度服务器 1)使用源码安装nginx软件 [root@svr5 ~]# yum -y install pcre pcre-devel openssl-devel [root@svr5 ~]# tar -zxvf nginx-1.8.0.tar.gz [root@svr5 ~]# cd...
tomcat 实现session共享
小猿爱敲代码
02-22 1154
tomcat session 共享
sessionid如何产生?由谁产生?保存在哪里?
AlbenXie的博客
12-12 7279
sessionid是一个会话的key,浏览器第一次访问服务器会在服务器端生成一个session,有一个sessionid和它对应。tomcat生成sessionid叫做jsessionid。 session在访问tomcat 服务器HttpServletRequest的getSession(true)的时候 创建,tomcat的ManagerBase类提供创建sessionid的方法: 随机数...
tomcat session
04-28
apache-tomcat-7.0.56+nginx-1.8.0+redis-3.0.6集群部署所需JAR包,session共享 tomcat-redis-session-manager1.2.jar jedis-2.6.2.jar tomcat-juli.jar tomcat-juli-adapters.jar commons-pool-1.5.4.jar commons...
Tomcat集群和Session复制应用介绍
09-05
本文将详细介绍Tomcat集群和Session复制应用,需要了解的朋友可以参考下
使用 Redis 共享存储 Tomcat Session 的整合实现
11-17
本资源通过Redisson组件实现Tomcat的非黏性会话管理功能,支持多个Tomcat共享存储Session会话信息,支持Tomcat的6.x、7.x、8.x版本,支持JDK1.8+或JDK1.6+环境。Redisson通过重定义Session相关类方法的方式实现...
Tomcat自动生成会话JSESSIONID
m0_37695902的博客
08-11 3828
一、request.getSession(true)和request.getSession(false)的区别 request.getSession(true):若存在会话则返回该会话,否则新建一个会话,默认为true; request.getSession(false):若存在会话则返回该会话,否则返回NULL; 当向Session中存放登录信息时,一般建议:HttpSessio...
tomcat源码解读六 tomcat中的session生命历程
jack_Zheng的博客
12-02 638
session的作用是在一次会话中(从打开浏览器到关闭浏览器同当前服务器的交流)当客户端第一次请求session对象时候,服务器会为客户端创建一个session,并将通过特殊算法算出一个session的ID,用来标识该session对象,当浏览器下次(session继续有效时)请求别的资源的时候,浏览器会sessionID放置到请求头中,服务器接收到请求后就得到该请求的sessionID,服务器根
JavaWeb Tomcat (八)Session、Cookie
YUELEI118的博客
05-06 448
第八章 Session、CookieSession 会话域Session的创建过程会话超时机制Session的销毁:设置会话超时时间Cookie禁用后怎么使用Session(没用的知识)Session的常用方法Cookie作用创建Cookie设置Cookie 路径设置Cookie 生命时间响应给浏览器Cookie获取浏览器的Cookie Session 会话域 作用:服务器识别用户并保持用户信息在一次访问中的连续性。一次:session失效 域 request session applicati
java生成sessionid,设置自定义会话ID java(apache tomcat
weixin_26878995的博客
02-16 1216
I want to set custom session id for my web application ,I have alogorithm to generate session id my web application should use that algo for generating session id.please suggest me how cam i set my al...
Springboot设置session
weixin_43034040的博客
02-22 2610
https://blog.csdn.net/xjj1040249553/article/details/82658889 redis的使用(中文官网) http://www.redis.cn/commands.html#list 学习参考视频() https://www.bilibili.com/video/av38657363?p=82 1.安装 已经安装好了 F:\Redis-x64-3.0....
tomcatsessionid配置
08-09
Tomcat中,可以通过配置文件来设置SessionID生成方式。 Tomcat使用JSESSIONID作为Session的标识符,它经常作为Cookie的一部分发送给客户端浏览器。默认情况下,Tomcat使用Java的随机数生成器来生成JSESSIONID。但是,为了提高安全性,可以根据需求进行配置。 首先,需要在Tomcat的配置文件web.xml中找到“session-config”标签。可以在这里设置Session的超时时间(以分钟为单位),以及Session的Cookie属性,例如是否只能通过安全连接(HTTPS)发送。 更深入的配置可以通过在Tomcat的配置文件server.xml中找到“<Engine>”标签,然后在其下的“<Host>”标签中设置。可以设置Session的存储方式,常用的有内存、文件和数据库。 另外,还可以使用自定义的SessionID生成器。可以实现javax.servlet.http.HttpSessionIdListener接口,然后在web.xml文件中注册该Listener,Tomcat会在Session创建时调用其生成方法来获取SessionID。一个常用的自定义SessionID生成器是基于UUID(Universally Unique Identifier)的,可以确保生成SessionID是唯一的。 总之,通过Tomcat的配置文件,可以灵活地配置SessionID生成方式,以满足项目的需求。无论是设置超时时间、Cookie属性,还是使用自定义的SessionID生成器,都可以提高应用程序的安全性和灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

oligaga

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值