Защита идентификатора сеанса Cookie в Weblogic портит создание сеанса

1

[вопрос]: Я пытаюсь защитить файл cookie сеанса, просто устанавливая свойство безопасного файла cookie в значение ИСТИНА. Тем не менее, приложение не может создать сеанс после этого изменения. Кто-нибудь имеет такую же проблему?

Это может быть что-то тривиальное, которого я пропускаю, но, к сожалению, я не могу решить эту проблему. Любая помощь или рекомендации действительно оценены:

Вот настройка weblogic.xml:

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://www.bea.com/ns/weblogic/90"
    xmlns:j2ee="http://java.sun.com/xml/ns/j2ee" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" ....="http://www.bea.com/ns/weblogic/90 http://www.oracle.com/technology/weblogic/90/weblogic-web-app">

    <session-descriptor>
            *<cookie-name>JSESSIONIDCA</cookie-name>
            <cookie-path>/../...</cookie-path>
           ..
            <cookie-secure>true</cookie-secure>
    </session-descriptor>
    ...
            <keep-generated>true</keep-generated>
            <page-check-seconds>-1</page-check-seconds>
            <print-nulls>false</print-nulls>
            <verbose>true</verbose>
    ...
    <container-descriptor><servlet-reload-check>-1</servlet-reload-check>    </container-descriptor>

Я использую: Http Session session = request. get Session();

Приложение использует веб-логику 10.3 и Spring MVC. благодаря

  • 0
    Cookie cookie должен работать только с https, поэтому вам также необходимо иметь правильную конфигурацию ssl (я полагаю).
Теги:
spring
cookies
session

1 ответ

2

Создание безопасного файла cookie означает, что браузер будет отправлять его только через https. Следовательно, все HTTP-запросы будут терпеть неудачу после первого запроса, когда cookie будет установлен в браузере. Если вы используете смешанный доступ http/https к вашему веб-серверу, вы не должны делать безопасный файл cookie JSESSIONID. Если отмечен флаг Auth Cookie Enabled, который по умолчанию используется в консоли weblogic.

Установка AuthCookieEnabled в значение true приводит к тому, что экземпляр WebLogic Server отправляет в безопасный файл cookie _WL_AUTHCOOKIE_JSESSIONID браузеру при аутентификации через соединение HTTPS. Как только защищенный cookie установлен, сеансу разрешается доступ к другим ресурсам HTTPS с ограничением безопасности, только если cookie отправляется из браузера.

Таким образом, WebLogic Server использует два файла cookie: cookie JSESSIONID и cookie _WL_AUTHCOOKIE_JSESSIONID. По умолчанию cookie JSESSIONID никогда не защищен, но cookie _WL_AUTHCOOKIE_JSESSIONID всегда безопасен. Безопасный файл cookie отправляется только при использовании зашифрованного канала связи. Предполагая, что стандартный HTTPS-вход (HTTPS - зашифрованное HTTP-соединение), ваш браузер получает оба файла cookie.

для получения дополнительной информации см. http://docs.oracle.com/cd/E23943_01/web.1111/e13711/thin_client.htm#autoId4

Поделиться

Ещё вопросы

Сообщество Overcoder
Наверх
Меню