SessionTrackingMode允许您指定Servlet会话绑定到SSL会话。 Tomcat支持这Tomcat SSL HOW-TO。在Jetty中是否有任何机制可以实现这一点?Jetty是否支持SessionTrackingMode.SSL
例如,如果我在我的Servlet init中执行以下操作;
@WebServlet(urlPatterns ={ "/session_test" })
公共类SessionTestServlet延伸的HttpServlet {
private static final SessionTrackingMode[] modeArray = { SessionTrackingMode.SSL };
private static final Set<SessionTrackingMode> SESSION_TRACKING_MODES = new HashSet<>(Arrays.asList(modeArray));
@Override
public void init(ServletConfig config) throws ServletException {
super.init(config);
config.getServletContext().setSessionTrackingModes(SESSION_TRACKING_MODES);
}
则不创建会话。
谢谢,我只是探索机制,以防止会话Id劫持。我也在测试存储服务器端会话的javax.servlet.request.ssl_session_id,并检查它是否如预期的那样。是的,SSL会话与App会话范围是一个棘手的问题。 – JFK 2014-10-02 10:04:36