瘋狂

關于tomcat和sessionCookieName和SESSION_PARAMETER_NAME以及disableURLRewriting參數

關于session和cookie參考：

http://www.tkk7.com/freeman1984/archive/2011/09/02/357833.html

http://www.tkk7.com/freeman1984/archive/2010/09/09/331501.html

http://www.tkk7.com/freeman1984/archive/2010/03/30/316901.html

tomcat服務端和客戶端通過sessionCookieName參數（默認值：jsessionid）的值來識別session，并在此session中共享數據。在瀏覽器首次請求服務的時候，tomcat服務器會在響應頭信息信息里面返回：

告訴瀏覽器保存cookie名為JSESSIONID的cookie，當然此時為會話cookie，此cookie是保存在瀏覽器當前會話中的。過期時間為當前會話結束時。(當然前提是瀏覽器要設置為接受第三方cookie)

在下次瀏覽器請求的時候會將此cookie值返回給服務器，當然cookie的名稱同(sessionCookieName參數，確切的來說是同瀏覽器保存的會話cookie的名稱)，當服務器接受到此參數的時候，就不會在響應頭信息信息里面返回Set-cookie

當然sessionCookieName參數的值是可以修改的,查看官方文檔：

通過在contex中設置：
1 <Context sessionCookieName="jss" >

或者通過java虛擬機參數

2 -D org.apache.catalina.SESSION_COOKIE_NAME=jss

或者動過設置：

3

System.setProperty("org.apache.catalina.SESSION_COOKIE_NAME", "jss");

當然后兩種的優先級高。

修改之后在查看服務器返回：

當瀏覽器設置了不接受第三方cookie的時候。Tomcat支持通過URLRewrit（將sessionid放在url中）來將session的id傳給服務器來維持會話（當然如果瀏覽器接受會話cookie優先級是從會話cookie中去，也就是url里面的session參數會被拋棄）。

例如：get.do;jsessionid=1682268A851B4B6A3BAE18871C63AF30

查看tomcat相關源碼：

private static final String match = ";" + Globals.SESSION_PARAMETER_NAME + "=";

此時的SESSION_PARAMETER_NAME和sessionCookieName是可以不相同的（默認相同），通過修改org.apache.catalina.SESSION_PARAMETER_NAME參數來修改，方式如下：

-Dorg.apache.catalina.SESSION_PARAMETER_NAME=jsss

 或者：

System.setProperty("org.apache.catalina.SESSION_PARAMETER_NAME", "jsss");

這樣通過URLRewrit的方式session就不限于么個瀏覽器或者瀏覽器頁了。只要有此seesionid任何瀏覽器任地方都能夠進行訪問，當然就帶來了安全問題。可通過以下參數來禁止URLRewrit傳sessionid，仍然是在tomcat的context.xml文件內設置：

<Context disableURLRewriting="true">

官方文檔：

設置完成后即使你在url里面加了sessionid的值，服務器仍然會在返回頭信息里面返回Set-cookie信息。

其他應用服務器原理大致相同。

~完~