关于AJP HTTPS切换HTTP Session失效的问题

最新推荐文章于 2020-06-09 23:49:18 发布
最新推荐文章于 2020-06-09 23:49:18 发布
阅读量266 收藏
点赞数
文章标签: Tomcat JBoss Apache

基础知识:

Cookie有三种形式:

1.https only: 当服务器从https协议redirect到http协议后,这样的cookie就会失效。

2.http only: 当服务器从http协议redirect到https协议后,这样的cookie就会失效。

3.http and https: 协议切换不会失效

 

标准J2ee的Session使用的Cookie名称是 JSESSIONID.

Tomcat/JBoss服务器在request.isSecure() == false的时候,建立的是第三种形式的JSESSIONID.

当然reques.isSecure() == true时,建立的是第一种形式的JSESSIONID.

AJP的Connect有两个参数:

secure 默认为false

schema 默认为http

 

在Apache使用proxy代理到ajp端口,AJP会收到你当前端口的信息,443/80

AJP构造出来的reqeust会根据这两个端口来设置request的secure值,如果是443,request.isSecure()就等于true.

 

注意:

在AJP收到的端口信息不为0的情况下,无论AJP的Connect配置的secure和schema是什么,他们都是无效的!

 

这个时候,一旦你的Session是在HTTPS下建立的,那么当你Redirect到HTTP端口,你的Session就会失效.

 

我不知道有什么方式让Apache发给AJP的端口值为0.所以目前的解决方案是443端口不进行AJP proxy,使用http proxy替代。

 

 

 

 

solonote
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
http https session丢失
fly_zxy的专栏
03-27 5028
现象描述 项目中仅在登录时使用https连接进行登录请求,登录成功会使用http访问服务器的其它资源。也就说从https连接切换http。输入正确的用户和密码后总是跳转到登录页面,并没有跳转到主页面。debug了一下程序,发现在跳转到主页时,程序认为 request.getSession("userInfo") 获取的用户信息为 null,用户没有登录。而不适用https连接请求登录,输入正确
运维工程师,总结40个面试题
最新发布
张晨光老师的播客
04-25 1102
下面是一名运维人员求职数十家公司总结的Linux运维面试题,给大家参考下~1、什么是运维?什么是游戏运维?1)运维是指大型组织已经建立好的网络软硬件的维护,就是要保证业务的上线与运作的正常,在他运转的过程中,对他进行维护,他集合了网络、系统、数据库、开发、安全、监控于一身的技术运维又包括很多种,有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等2)游戏运维又有分工,分为开发运维、应用运维(业务运维)和系统运维开发运维:是给应用运维开发运维工具和运维平台的。
Apache + Tomcat采用AJP实现负载均衡与session同步
02-11 1398
说明:以下是基于Win7 + Apache2.2 + Tomcat7进行的配置 负载均衡Apache的安装目录修改配置文件 Httpd.conf<!-- 打开注释内容 --> LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule pro
AJPHTTP比较和分析
zzc1684的博客
11-27 588
系统环境: OS:Ubuntu 10.10 (2G) Servlet Container:tomcat-tomcat-7.0.23  (最大内存:default 256M  maxThreads:500) Web server: apache2.2 (maxClient:250) 设置apache最大连接数 Java代码   在/usr/local/etc/apache22...
web项目httphttps跳转session失效解决
u010634054的博客
12-19 1521
最近web项目中有httphttps两种地址。两者跳转可能出现重新生成session问题,导致失效。 现总结如下: 第一种情况http跳转到httpssession不会失效。 第二种情况https跳转到httpsession失效tomcat会重新生成sessionId。 解决办法: 在http到url后面加上;jsessionid=&lt;%=session.getId()%...
Https跳到httpsession信息丢失的分析及解决方案
java_veteran的专栏
01-20 625
我们在YMU(website monitoring)项目开发过程中发现一个关于登录功能的奇怪的问题。当按一般流程使用登录功能时是没问题的,即:点击官网 (http://YouMonitor.Us)的login链接,然后跳转到https://YouMonitor.Us/login.shtml,输入正确的用户名和密码后,则能正确转入功能页面(http协议)。而如果跳过第一步,直接在浏览器中输https...
APACHE(proxy_ajp_stickysession) + TOMCAT实现高可用网站或管理系统集群
03-31
这样可以避免因用户会话在不同服务器间切换导致的数据丢失或登录失效问题。 在实际部署中,可能需要配置以下文件: 1. `httpd.conf`:这是Apache服务器的主要配置文件,需要在这里启用Proxy_AJP模块,例如: ``` ...
Tomcat面试题+http面试题+Nginx面试题+常见面试题
看清所以看轻
12-12 1万+
Tomcat面试题 1、Tomcat的缺省端口是多少?怎么修改? 答:缺省端口是8080,若要修改,可以进入Tomcat的安装目录下找到conf目录下的server.xml文件,找到该文件中的Connector字段中的port。 2、Tomcat有哪几种connector运行模式(服务的请求方式)? 答:三种。修改它的运行模式需要在主配置文件中找到connector字段中的protocol进行修改...
关于Linux运维的一些题目总结
热门推荐
Macross的专栏
10-13 1万+
<br />一、有文件file1<br />1、查询file1里面空行的所在行号<br />awk ‘{if($0~/^$/)print NR}’ file<br />or<br />grep -n ^$ file |awk ‘BEGIN{FS=”:”}{print $1}’<br />2、查询file1以abc结尾的行<br />grep abc$ file1<br />3、打印出file1文件第1到第3行<br />sed -n ’1,3p’ file1<br />head -3 file1<br />
配置Apusic集群
宁静深远的专栏
07-22 3678
集群是保证大型应用高可用的重要手段之一,应用服务器的集群也是目前最常见的集群操作方式。通过借鉴我的同事之前的经验及相关资料,这里制作了2中环境的集群:一种是直接使用Apusic自带的负载均衡器,制作集群。这样的集群不需要额外的负载均衡器,配置也是非常方便。另外,就是使用apache做负载均衡器,制作集群。下面分别介绍两种方式的操作过程。使用Apache做负载均衡器ApacheHTTP Server是目前最常见的负载均衡器,由于其开源免费并且效果相对不错,深受广大用户的喜爱。首先,需要下载一个apache
Tomcat优化禁用AJP协议
wang_chao_yang的博客
06-09 1万+
登录tomcat 在服务状态页面中可以看到,默认状态下会启用AJP服务,并且占用8009端口。 什么是AJP呢? AJPApache JServer Protocol) AJPv13协议是面向包的。WEB服务器和Servlet容器通过TCP连接来交互;为了节省SOCKET创建的昂贵代价,WEB服务器会尝试维护一个永久TCP连接到servlet容器,并且在多个请求和响应周期过程会重用连接 有两种方式请求web服务 第一种:请求tomcat服务器8080 端口 直接请求 第二种:生产环境常用,在web用
Http Session丢失
蒲公英的约定
08-10 1744
近段时间,客户生产环境遇到了一个问题。在点击一些按钮进入新页面时,偶尔会出现空白页面。这个空白页面,是因为后台收到请求后,需要获取HttpSession里的一些参数进行判断,session中少了参数,自然是进不去的。 程序中使用 req.getSession() 来获取session对象,req.getSession()其实就是req.getSession(true),如果有指定id的sessi
JBoss bundle和Apache 2.2.x环境下配置mod_proxy
李子无为的杂货铺
01-06 1536
这篇文章概要介绍了基于mod_proxy, mod_proxy_balance和JBoss的一个基本的负载均衡解决方案。 Mod_proxy支持使用http/httpsAJP协议来代理JBoss。这篇文章基于Apache httpd-2.2.x来介绍,如果你使用了更老的httpd版本,请参考Load Balancing using mod_rewrite and mod_proxy。
HttpSession 失效的内部机制
cectsky的专栏
11-24 871
周六在公司加班,研究了下tomcat session失效的原理,直接上code,以后再补齐一些基本concept.   starttime = 2012-11-24 2:57pm (好久没update blog 看看写一篇用多久)   2种方式注销session   (1)主动 invoke Servlet API    /** * Invalidates this s...
前后端分离开发 sessionid一直变化的问题
sorrow_yc的博客
05-03 8836
    最近在做一个vue前后端分离的项目,但是每次ajax请求时session都会变化,搜索资料后的处理办法总结如下:    1:ajax请示请加入            xhrFields: {        withCredentials: true }   或使用axios(待验证);    2:在java后台中加入拦截器,Access-Con...
HTTPSession过期设置
Coding
03-16 881
HTTPSession的默认失效时间是30分钟。 该限定时间是在 Tomcat安装目录\conf\web.xml文件中设置的,默认是30分钟。 [code="xml"] 30 [/code]
Nginx/Httpd反代Tomcat实践:安全配置与HTTP/AJP代理教程
Tomcat连接器主要分为HTTPHTTPSAJP三种,其中HTTPAJP被广泛用于反代场景,因为HTTP对浏览器友好,而AJP则适合服务器间的通信。直接让Tomcat面向客户端服务不推荐,因为这可能带来安全风险,反代服务器可以起到...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值