配置TOMCAT SESSIONID 字符长度和生成算法

最新推荐文章于 2021-02-16 08:25:00 发布
最新推荐文章于 2021-02-16 08:25:00 发布
阅读量4.5k 收藏 1
点赞数 1
分类专栏: java

修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:

<Manager

sessionIdLength="20"

pathname="SESSIONS.ser"

maxActiveSessions="8000"

secureRandomAlgorithm="SHA1PRNG"

secureRandomClass="java.security.SecureRandom"

maxInactiveInterval="60"

/>

标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.

更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html

TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。

实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码

/**

* Generate and return a new session identifier.

*/

protected String generateSessionId() {

String result = null;

do {

if (result != null) {

duplicates++;

}

result = sessionIdGenerator.generateSessionId();

} while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的

return result;

}

所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。

因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等等。

修改编译TOMCAT源码将在以后的BLOG中谈到。

 

package com.haohui.web.util;


import java.security.MessageDigest;

import java.security.NoSuchAlgorithmException;

import java.security.SecureRandom;

import java.util.Random;


/**

 * 

 * @author cevencheng

 *

 */

public class SessionUtil {


private static final int SESSION_ID_BYTES = 16;

public static synchronized String generateSessionId() {


        // Generate a byte array containing a session identifier

        Random random = new SecureRandom();  // 取随机数发生器, 默认是SecureRandom

        byte bytes[] = new byte[SESSION_ID_BYTES];

        random.nextBytes(bytes); //产生16字节的byte

        bytes = getDigest().digest(bytes); // 取摘要,默认是"MD5"算法


        // Render the result as a String of hexadecimal digits

        StringBuffer result = new StringBuffer();

        for (int i = 0; i < bytes.length; i++) {     //转化为16进制字符串

            byte b1 = (byte) ((bytes[i] & 0xf0) >> 4);

            byte b2 = (byte) (bytes[i] & 0x0f);

            if (b1 < 10)

                result.append((char) ('0' + b1));

            else

                result.append((char) ('A' + (b1 - 10)));

            if (b2 < 10)

                result.append((char) ('0' + b2));

            else

                result.append((char) ('A' + (b2 - 10)));

        }

        return (result.toString());


    }


private static MessageDigest getDigest() {

try {

MessageDigest md = MessageDigest.getInstance("MD5");

return md;

catch (NoSuchAlgorithmException e) {

// TODO Auto-generated catch block

e.printStackTrace();

}

return null;

}

public static void main(String[] args) {

String sid = SessionUtil.generateSessionId();

System.out.println("jsessionid=" + sid);

System.out.println("sid.lengh=" + sid.length());

String s = "CAB541D43210B989EE5696CDC5DEA456";

System.out.println(s.length());

}

}

 

冲冲
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用Tomcat设置Session
秦庚辰的博客
06-02 340
使用Tomcat设置Session 问题 通过Tomcat服务器设置Session回话ID,实现以下目标: 1)部署Nginx为前台调度服务器 2)调度算法设置为轮询 3)后端JSP服务器为Tomcat 4)Tomcat配置为需要用户、密码访问的站点 5)编写JSP测试页面,显示SessionID信息 方案 使用3台RHEL6虚拟机,其中一台作为Nginx前端调度器服务器(eth0:192.168...
SessionUtil Tomcat 生成 session id 的算法
qq_43747091的博客
01-12 808
SessionUtil Tomcat 生成 session id 的算法
Tomcat的Session管理(一) - Session的生成
臭美
01-06 233
Session对象的创建一般是源于这样的一条语句: Session session = request.getSession(false);或者Session session = request.getSession();如果不在乎服务器压力可能多那么一点点的话。 在Tomcat的实现中,这个request是org.apache.catalina.connector.Request类的包...
tomcat修改sessionId
10-28
tomcat修改sessionId,同一台服务器部署多个tomcat需要修改sessionId,否则会出现session冲突的问题
tomcat 6中设置强session id
jackyrongvip的专栏
11-11 236
tomcat 6中,默认的生成session id的长度是16字节,如果要修改的话,可以这样: 在\conf\context.xml, 其中sessionIdLength为20字节, 设置强sessionid的作用就是保护会话令牌...
tomcat同时使用http和https访问的配置方法
09-30
这通常涉及生成CSR(证书签名请求),提交给CA,然后将签发的证书导入到Tomcat的密钥库中。 综上所述,通过上述步骤,你就可以成功地配置Tomcat以支持同时使用HTTP和HTTPS访问。这将允许你的应用根据需要提供安全或...
Tomcat安装和配置教程
最新发布
06-01
tomcat安装及配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程Tomcat安装和配置教程...
tomcat6使用redis配置session共享】
04-25
tomcat6使用redis配置session共享】
Memcached+tomcat session共享jar 和tomcat xml配置
07-15
附件所对应的jar再 tomcat8.0.26这个版本是可以工作的,更好版本不一定能工作。
tomcat8配置session共享所需jar包
01-19
tomcat8配置session共享所需jar包
tomcat+nginx配置session共享
03-02
tomcat配置session共享,亲试过tomcat 7.0.82版本。提供了三个依赖的jar,拷贝到tomcat的lib下面。修改content.xml文件。里面有案例。
Android搭建本地Tomcat服务器及相关配置
01-04
在Android中我们时常会与服务器打交道,为了方便...Tomcat配置前要把Java运行环境配置好。配置电脑的环境变量,高级设置。 1,新建变量名:CATALINA_BASE,变量值:D:\apache-tomcat-7.0.73 2,新建变量名:CA
Tomcat集群和Session复制应用介绍
09-05
Tomcat集群和Session复制是提升Web应用可用性和性能的重要手段。通过配置Tomcat集群,我们可以创建一个可以共享会话信息的服务器网络,从而增强服务的可靠性和用户体验。理解并正确配置这些参数对于构建高可用的...
Nginx 集群 tomcat session 共享配置有源码
06-04
Nginx 集群 tomcat session 共享配置有源码 介绍看博客:https://blog.csdn.net/wxb880114/article/details/80563301
tomcat管理及session设置
热门推荐
java journey
04-19 1万+
tomcat在5.5以后,就没有自带admin项目了,如果要从http://localhost:8080 界面进入tomcat管理页面,需要从网上下载对应的tomcat-admin.zip,举个例子,如果你的tomcat是5.5.30的,需要从http://tomcat.apache.org/download-55.cgi 下载(在下载页面的Binary Distributions栏下的第四大项,Administration Web Application 即是)。解压以后,得到的文件夹里,东西
java session id 生成_session对象在web开发中的创建以及sessionId生成并返回客户端的运行机制...
weixin_36481965的博客
02-16 759
session对象当客户端首次访问时,创建一个新的session对象。并同时生成一个sessionId,并在此次响应中将sessionId 以响应报文的方式些回客户端浏览器内存或以重写url方式送回客户端,来保持整个会话,只要sever端的这个session对象没有销毁,以后再调用 request.getSession()时就直接根据客户端的sessionId来检索 server端生成的sessi...
jsessionid机制
独孤求梦
05-20 1398
session你可以这样理解: 当你与服务端进行会话时,比如说登陆成功后,服务端会为你开壁一块内存区间,用以存放你这次会话的一些内容,比如说用户名之类的。那么就需要一个东西来标志这个内存区间是你的而不是别人的,这个东西就是session id(jsessionid只是tomcat中对session id的叫法,在其它容器里面,不一定就是叫jsessionid了。),而这个内存区间你可以理解为se
session的默认时间长度
罗汉松驻扎的工作基地
01-09 1864
asp.net Session的默认时间设置是20分钟,即超过20分钟后,服务器会自动放弃Session信息. 转载:http://www.cnblogs.com/yangfeng/archive/2009/08/21/1551484.html
tomcatsessionid配置
08-09
Tomcat中,可以通过配置文件来设置SessionID生成方式。 Tomcat使用JSESSIONID作为Session的标识符,它经常作为Cookie的一部分发送给客户端浏览器。默认情况下,Tomcat使用Java的随机数生成器来生成JSESSIONID。但是,为了提高安全性,可以根据需求进行配置。 首先,需要在Tomcat配置文件web.xml中找到“session-config”标签。可以在这里设置Session的超时时间(以分钟为单位),以及Session的Cookie属性,例如是否只能通过安全连接(HTTPS)发送。 更深入的配置可以通过在Tomcat配置文件server.xml中找到“<Engine>”标签,然后在其下的“<Host>”标签中设置。可以设置Session的存储方式,常用的有内存、文件和数据库。 另外,还可以使用自定义的SessionID生成器。可以实现javax.servlet.http.HttpSessionIdListener接口,然后在web.xml文件中注册该Listener,Tomcat会在Session创建时调用其生成方法来获取SessionID。一个常用的自定义SessionID生成器是基于UUID(Universally Unique Identifier)的,可以确保生成SessionID是唯一的。 总之,通过Tomcat配置文件,可以灵活地配置SessionID生成方式,以满足项目的需求。无论是设置超时时间、Cookie属性,还是使用自定义的SessionID生成器,都可以提高应用程序的安全性和灵活性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值