java - Servlet 如何通过一般请求参数传递 SessionID

Question

我有个项目，希望在 REST 接口使用 SessionID 作为 Token，这样能简化和用熟悉的方式处理会话数据，在 URL 附加 ;jsessionid= 太丑，传递 Cookie 的话 APP 开发又嫌麻烦，就想通过普通的 GET/POST 参数或自定义 H...

天蓬老师 · Answer

完了したら、Tomcat と Jetty のそれぞれのリクエスト (HttpServletRequest の実装) を確認しました。これらはすべて、setRequestedSessionId(String) を使用してセッション ID を設定し、このメソッドを取得して呼び出す場合は、getSession の前に設定します。 sessionId、Jetty でテストした後、機能するので、Tomcat を試してください。これら 2 つのコンテナーは私がよく使用するもので、他のコンテナーに遭遇した場合はチェックしてみます。

コードは簡単です:

リーリー

ははは！

現在のリクエストが初めて getSession を呼び出す前に実行する必要があることに注意してください。Session

を使用する上位層にフィルターがあるかどうかに特に注意してください。

2016/05/21 実験結果を更新しました

SessionID は上記のメソッドで置き換えることができますが、セッションを取り出すことはできません。セッションは取り出すときに検証され、Jetty のソースコードを追跡して、Session オブジェクトが設定されているかどうかを確認するためです。以下に示すように、リクエストが初期化されます:

現時点ではサーブレットやフィルターが実行されていないため起動する方法がなく、リセットもそう簡単ではないようです。

上記は Jetty でのみテストされ、結果は失敗しました。 Tomcat には実験がありません。ソースコードを見ると、ロジックに基づいて、changeSessionId(String) メソッドが存在します。

結果は 2016/05/21 に再度更新されました

継続的なトスの後、次のコードを使用して sessionId が正常にリセットされました:

リーリー

この後に実行されるプログラムでは何も変更する必要はありません。 request.getSession() を使用して通常どおりセッションを読み書きできます。

2015/05/22 Tomcat 実測値更新

朝食後に退屈したので、Tomcat 7 および 8 バージョンを使用して Tomcat コードを追跡したところ、ユーザーサーブレットに渡される Request オブジェクトは、HttpServletRequest のメソッドでのみ動作する RequestFacade と呼ばれるプロキシクラスであることがわかりました。インターフェースを実装しないと、その Request オブジェクトは非表示になるため、setRequestedSessionId および org.apache.catalina.connector.Request の他のメソッドを呼び出すことができません。

このハックは Jetty に対してのみ実装できるようです。

結果は楽観的ではなく、Jetty は将来のバージョンでこれらのメソッドを隠す可能性がありますが、この実験的なプロセスにより、これら 2 つのアプリケーションコンテナーについての理解を深めることができました。 Cookie、URL パスパラメーター、または GET/POST パラメーターのいずれであっても、それらはリクエストデータのさまざまな場所にセッショントークンを運ぶだけです。クライアント側で接続を単純にカプセル化する方が便利な場合があります。

PHP中文网 · Answer

トークンを使用し、リクエストヘッダーにトークンを入れます。フロントエンドはリクエストを行うときにこのトークンを持参する必要があります