日期:2014-05-16  浏览次数:20375 次

同域名下的JSESSIONID冲突

最近在做一个项目,但是由于之前一个项目也同时部署在同一台tomcat下,所以出现了sessionId的冲突,描述一下冲突过程:

1.      打开浏览器访问第一个项目(配置在根目录)

 

2. 打开另一标签访问第二个项目(spring security 示例https形式登录)


注意:访问第二个项目时第一次访问登录页面就带上了第一次访问第一个项目所返回的cookie值(JSESSIONID=32760F6848AE4495FB396535FBDBCA30),为什么,因为第一个项目的cookie的path路径是根目录而且是相同的域,在访问/security时是根目录的子目录,所以会带上根目录cookie值.

3. 登录第二个项目:


此时登录请求带上了第一个项目访问返回的cookie值,与本项目返回的cookie值,登录成功返回带有Secure的cookie并且重定向到项目主页面.注意重定向url最后的;jsessionid=08…..B56与返回cookie值一样,这样作为参数是为了避免下次请求主页面是http请求而不带https返回Secure的cookie值.

4. 登录成功,请求主页.


注意:这里本来是请求主页的但是为什么请求主页的响应又是重定向登录呢?
     仔细看看这里的Cookie :JSESSIONID=32760F6848AE4495FB396535FBDBCA30是第一个项目的返回Cookie,而不是第二个项目的返回cookie,第二个项目的cookie由于后面标识了Secure只能在https时候传递到服务器,所有用参数的形式在http下传递,两个cookie都传递过去了但是却不能成功登录,那就说明Cookie的值优先级高于参数中的jsessionId.

解决方案:

1.tomcat5修改方法

在启动项中增加org.apache.catalina.SESSION_COOKIE_NAME参数

linux
JAVA_OPTS='-Dorg.apache.catalina.SESSION_COOKIE_NAME=sessionname'
win
set JAVA_OPTS="-Dorg.apache.catalina.SESSION_COOKIE_NAME=sessionname"

2.tomcat6+之后的版本

<Contextpath="/security" reloadable="false"docBase="${youWorkSpace}\security\WebContent" workDir="${youWorkSpace}\work"  sessionCookieName="SECURITYID" sessionCookiePath="/security"/>
sessionCookieName为session的名称也就是替换JSESSIONID这个名字
sessionCookiePath就是cookie的路径