HttpServletRequest Il metodo getSession(boolean) menziona l'integrità della sessione. In che modo Tomcat mantiene l'integrità della sessione? Quali regole usa? Quale metodo? Cosa sta succedendo esattamente sotto il cofano?In che modo Tomcat mantiene l'integrità della sessione?
EDIT
Come e quando si è creato uno specifico ID di sessione? Ad esempio, Tomcat fa affidamento sull'indirizzo IP e sulla porta?
In Tomcat il metodo ManagerBase.generateSessionId() è responsabile della generazione dell'ID di sessione. Mi sembra che gli ID di sessione siano generati in base a numeri casuali. Puoi memorizzare l'indirizzo IP del cliente nella sessione e controllarlo nella tua webapp, ma per quanto ne so Tomcat non lo fa.
Informazioni sull'integrità della sessione: potresti definirlo, per favore? C'è un paragrafo su di esso nel Java Servlet Specification, Version 3.0 ma non è troppo:
7.1.4 Session Integrity
contenitori Web devono essere in grado di supportare la sessione HTTP, mentre le richieste HTTP assistenza da parte dei clienti che non supportare l'uso dei cookie. A soddisfare questo requisito, i contenitori Web supportano comunemente il meccanismo di riscrittura degli URL .
Questo blog fornisce alcuni dettagli sul Session Tracking con i cookie con Tomcat.
L'intero problema è che questo concetto non è definito chiaramente ... – JVerstry
Vale la pena un'altra domanda: http://stackoverflow.com/questions/7583752/is-there-a-formal-definition-of-session- integrity-regard-servlet – JVerstry
Sembra che l'integrità della sessione == il monitoraggio della sessione dalla risposta sull'altra domanda. – JVerstry