私が仕事をしている製品は、潜在的な顧客からの厳しいセキュリティ監査を受けて、認証が行われる前にTomcatがJSESSIONIDクッキーを設定すると怒っています。つまり、Tomcatはステートレスなログインページが読み込まれたときに、ログイン前にこのCookieを設定します。 (認証が起こったの前に、すなわち) ログイン後にJSESSIONIDクッキーをリフレッシュする方法
- 問題新しいJSESSIONIDクッキー: 彼らは、次のいずれかを示唆します
私はこのサイトのJSESSIONID関連のすべてを掘り下げており、簡単な答えは見つけられません。私はちょうどいくつかのアイデアを期待しています。それぞれの私の最善の解決策は以下のとおりです。
- 右ログイン後、要求と関連付け、値をコピー、新しいものを作成し、古いセッションを無効に、すべての属性をコピーして、セッション(マイナスID)をクローンそれが働くことを期待しています。
- サーブレットを作成するログインページが最初にロードされる前にJSESSIONIDクッキーを取り除くチェーンの最後にフィルターをかけます。そして、JSESSIONIDが設定されていない状態でログインリクエストがうまくいくことを願ってください。
私は睡眠を取らなければなりませんが、午前中にこれらを試みます。私よりもはるかに賢い人からのフィードバックやより良い提案を得ることは素晴らしいことでしょう - あなたのように!
それにかかわらず、他の多くの人が同様のことをしたいと思っているように私は結果をここに掲載します。
面白いもの。私はWicket 1.3を使用していますが、 'session = false'(ビュー側はJSPベースではありません)を設定する方法を見つけることができません。私は今getSession(false)のアイデアを試してみるつもりです...ありがとう! –
ログイン前にセッションを無効にするとWicketの混乱が起こります(ログインページにリダイレクトされます)。それでもまだまだ... –
@RichardsonHeights:https://issues.apache.org/jira/browse/WICKET-1767を見てください。それは文書化され、解決されたようだ。 – cherouvim