关于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以

关于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting参数

关于session和cookie参考：

http://www.blogjava.net/freeman1984/archive/2011/09/02/357833.html

http://www.blogjava.net/freeman1984/archive/2010/09/09/331501.html

http://www.blogjava.net/freeman1984/archive/2010/03/30/316901.html

 

tomcat服务端和客户端经过sessionCookieName参数（默认值：jsessionid）的值来识别session，并在此session中共享数据。在浏览器首次请求服务的时候，tomcat服务器会在响应头信息信息里面返回：

 

告诉浏览器保存cookie名为JSESSIONID的cookie，固然此时为会话cookie，此cookie是保存在浏览器当前会话中的。过时时间为当前会话结束时。(固然前提是浏览器要设置为接受第三方cookie)

在下次浏览器请求的时候会将此cookie值返回给服务器，固然cookie的名称同(sessionCookieName参数，确切的来讲是同浏览器保存的会话cookie的名称)，当服务器接受到此参数的时候，就不会在响应头信息信息里面返回Set-cookie

固然sessionCookieName参数的值是能够修改的,查看官方文档：

sessionCookieName

The name to be used for all session cookies created for this Context. If not set, the default of JSESSIONID will be used. Note that this default will be overridden by the org.apache.catalina.SESSION_COOKIE_NAME system property.

经过在contex中设置：
1 <Context sessionCookieName="jss" >

或者经过java虚拟机参数

2 -D org.apache.catalina.SESSION_COOKIE_NAME=jss

或者动过设置：

3

System.setProperty("org.apache.catalina.SESSION_COOKIE_NAME", "jss");

 

固然后两种的优先级高。

修改以后在查看服务器返回：

 

当浏览器设置了不接受第三方cookie的时候。Tomcat支持经过URLRewrit（将sessionid放在url中）来将session的id传给服务器来维持会话（固然若是浏览器接受会话cookie优先级是从会话cookie中去，也就是url里面的session参数会被抛弃）。

例如：get.do;jsessionid=1682268A851B4B6A3BAE18871C63AF30

 

查看tomcat相关源码：

 

private  static  final String match = ";" + Globals.SESSION_PARAMETER_NAME + "=";

 

此时的SESSION_PARAMETER_NAME和sessionCookieName是能够不相同的（默认相同），经过修改org.apache.catalina.SESSION_PARAMETER_NAME参数来修改，方式以下：

-Dorg.apache.catalina.SESSION_PARAMETER_NAME=jsss

 或者：

System.setProperty("org.apache.catalina.SESSION_PARAMETER_NAME", "jsss");

 

这样经过URLRewrit的方式session就不限于么个浏览器或者浏览器页了。只要有此seesionid任何浏览器任地方都可以进行访问，固然就带来了安全问题。可经过如下参数来禁止URLRewrit传sessionid，仍然是在tomcat的context.xml文件内设置：

<Context disableURLRewriting="true">

官方文档：

isableURLRewriting

Set to true to disable support for using URL rewriting to track session IDs for clients of this Context. URL rewriting is an optional component of the servlet 2.5 specification but disabling URL rewriting will result in non-compliant behaviour since the specification requires that there must be a way to retain sessions if the client doesn't allow session cookies. If not specified, the specification compliant default value of false will be used.

 

 

设置完成后即便你在url里面加了sessionid的值，服务器仍然会在返回头信息里面返回Set-cookie信息。

其余应用服务器原理大体相同。

~完~

<Context disableURLRewriting="true" />