关于AJP HTTPS切换HTTP Session失效的问题

最新推荐文章于 2024-04-25 12:26:33 发布

最新推荐文章于 2024-04-25 12:26:33 发布 · 333 阅读

文章标签：

#Tomcat #JBoss #Apache

本文探讨了Cookie的不同形式及其在HTTPS和HTTP之间的切换时的行为，并详细解释了J2EE中的Session如何受到这些变化的影响。此外，还讨论了在使用Apache作为代理服务器时，如何通过配置避免因协议切换而导致的Session失效问题。

基础知识：

Cookie有三种形式：

1.https only: 当服务器从https协议redirect到http协议后，这样的cookie就会失效。

2.http only: 当服务器从http协议redirect到https协议后，这样的cookie就会失效。

3.http and https: 协议切换不会失效

标准J2ee的Session使用的Cookie名称是 JSESSIONID.

Tomcat/JBoss服务器在request.isSecure() == false的时候,建立的是第三种形式的JSESSIONID.

当然reques.isSecure() == true时,建立的是第一种形式的JSESSIONID.

AJP的Connect有两个参数:

secure 默认为false

schema 默认为http

在Apache使用proxy代理到ajp端口，AJP会收到你当前端口的信息，443/80

AJP构造出来的reqeust会根据这两个端口来设置request的secure值，如果是443,request.isSecure()就等于true.

注意:

在AJP收到的端口信息不为0的情况下，无论AJP的Connect配置的secure和schema是什么，他们都是无效的!

这个时候，一旦你的Session是在HTTPS下建立的，那么当你Redirect到HTTP端口，你的Session就会失效.

我不知道有什么方式让Apache发给AJP的端口值为0.所以目前的解决方案是443端口不进行AJP proxy,使用http proxy替代。

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

solonote

关注关注

0
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

看完这篇 Session、Cookie、Token，和面试官扯皮就没问题了

weixin_48675073的博客

10-19

1364

Cookie 和 Session 开奖之前给大家一个福利送java架构鼠标垫免费领取要的可以+V HTTP 协议是一种无状态协议，即每次服务端接收到客户端的请求时，都是一个全新的请求，服务器并不知道客户端的历史请求记录；Session 和 Cookie 的主要目的就是为了弥补 HTTP 的无状态特性。 Session 是什么客户端请求服务端，服务端会为这次请求开辟一块内存空间，这个对象便是 Session 对象，存储结构为 ConcurrentHashMap。Ses...

SpringBoot+nginx+redis实现session分布式共享和单点登录

qq_40388552的博客

11-25

1120

最近搭建了一个小项目测试了一下session的分布式共享项目是基于SpringBoot的这里只讲一个注意事项 SpringBoot内嵌tomcat，直接run Application即可，那么我们如何去除内嵌的tomcat，使用自己的呢？一、POM(去除内嵌tomcat后，需要添加servlet依赖) <packaging>war</packaging> ...

参与评论您还未登录，请先登录后发表或查看评论

http https session丢失

fly_zxy的专栏

03-27

5147

现象描述项目中仅在登录时使用https连接进行登录请求，登录成功会使用http访问服务器的其它资源。也就说从https连接切换到http。输入正确的用户和密码后总是跳转到登录页面，并没有跳转到主页面。debug了一下程序，发现在跳转到主页时，程序认为 request.getSession("userInfo") 获取的用户信息为 null，用户没有登录。而不适用https连接请求登录，输入正确

https转http时session失效的处理

emenwester的专栏

04-20

3253

对于https和http的不同请求，Web容器会生成两个不同的session对象；因此，如果在同一个Web应用中只有部分页面使用SSL，要保证使用SSL的页面与不使用SSL的页面间的相互切换（也就是https请求与http请求间的切换）会话保持连续，那么可以通过在访问的URL中传递sessionId来实现，也就是说在进入或退出https的URL上绑定一个sessionId，比如从http切

Apache + Tomcat采用AJP实现负载均衡与session同步

02-11

1461

说明：以下是基于Win7 + Apache2.2 + Tomcat7进行的配置负载均衡Apache的安装目录修改配置文件 Httpd.conf LoadModule proxy_module modules/mod_proxy.so LoadModule proxy_ajp_module modules/mod_proxy_ajp.so LoadModule pro

AJP与HTTP比较和分析

zzc1684的博客

11-27

637

系统环境： OS:Ubuntu 10.10 (2G) Servlet Container:tomcat-tomcat-7.0.23 (最大内存：default 256M maxThreads:500) Web server: apache2.2 (maxClient:250) 设置apache最大连接数 Java代码在/usr/local/etc/apache22...

APACHE(proxy_ajp_stickysession) + TOMCAT实现高可用网站或管理系统集群

03-31

这样可以避免因用户会话在不同服务器间切换导致的数据丢失或登录失效问题。在实际部署中，可能需要配置以下文件： 1. `httpd.conf`：这是Apache服务器的主要配置文件，需要在这里启用Proxy_AJP模块，例如： ``` ...

Tomcat企业级优化：默认页面、超时设置与AJP禁用

涉及到了一系列配置调整和最佳实践，包括设置默认页面、设定页面超时、禁止列出目录、禁用AJP协议连接器、配置网页传输压缩、切换Tomcat运行模式以及解决8005端口延迟启动问题等内容。案例环境基于之前章节的Tomcat...

运维工程师，总结40个面试题

最新发布

张晨光老师的播客

04-25

2121

下面是一名运维人员求职数十家公司总结的Linux运维面试题，给大家参考下~1、什么是运维？什么是游戏运维？1）运维是指大型组织已经建立好的网络软硬件的维护，就是要保证业务的上线与运作的正常，在他运转的过程中，对他进行维护，他集合了网络、系统、数据库、开发、安全、监控于一身的技术运维又包括很多种，有DBA运维、网站运维、虚拟化运维、监控运维、游戏运维等等2）游戏运维又有分工，分为开发运维、应用运维（业务运维）和系统运维开发运维：是给应用运维开发运维工具和运维平台的。

基于Apache与Tomcat的集群负载均衡实现

JK 模块不仅实现了请求的转发，还支持会话粘滞性（Session Stickiness），确保同一个用户的多次请求尽可能被发送到同一台 Tomcat 服务器上，这对于依赖本地 Session 存储的应用非常重要，有助于维持用户状态的一致性...

https跳转到http session丢失问题

weixin_34081595的博客

05-05

1121

为什么80%的码农都做不了架构师？>>> ...

http和https共存导致session丢失

搬山境KL攻城狮的修炼手册

11-25

1269

一、问题描述使用tomcat部署应用时，同时启用http和https，当用户先打开https://localhost:8443/，再将协议切换为http协议时http://localhost:8080/时，系统后台无法到获取登录页验证码（后台生成的验证码存储在session中）。不切换http和https时，无此问题，均可正常获取验证码。二、原因 http和https共存导致session丢失，session中存储的验证码自然也无法获取！参考：在HTTP和HTTPS之间切换时，JSessi

浅析http协议、cookies和session机制、浏览器缓存

xceman1997的专栏

05-07

1244

原文地址：http://blogread.cn/it/article/6085?f=sa 最近几天在复习http协议中headers，cookies、session、缓存等相关知识，发现些新知识点。这篇文章注重结合PHP去理解这些内容，也就是比较注重实践部分。 http headers NO1：对于web应用，用户群在客户端 (各种浏览器)点击任何一个连接向服务器发送h

重定向session失效怎么解决_接口幂等性解决方案

weixin_39725885的博客

11-29

637

什么是幂等性？多次请求某一个资源对于资源本身应该具有同样等结果,也就是说,其任意多次执行对资源本身所产生等影响的结果均与第一次执行的影响的结果相同。（多次请求的资源都是相同的导致数据库存储脏数据）产生幂等性场景网络波动, 可能会引起重复请求用户重复操作,用户在操作时候可能会无意触发多次下单交易,甚至没有响应而有意触发多次交易应用使用了失效或超时重试机制(Nginx重试、RPC重试或...

在https和http间切换时session丢失问题

weixin_34289454的博客

07-02

419

2019独角兽企业重金招聘Python工程师标准>>> ...

一个IHS映射多个应用服务器造成的session丢失问题

云朵

12-28

914

实际的生产环境如下所示，为了保证高可用性，所有的服务器包括应用服务器\WebServer\WebSeal都做了负载均衡，最前端是由一台F5负载均衡交换机进行分发。应用服务器和IHS实际有两台机器，都分别部署了WAS和IHS，每个WAS都创建了两个profile，每两个profile做一个集群，两个个集群上分别部署了不同的应用(portal和OA)。方便起见，两个Cluster使用了同一个...

WEB常识十四分布式架构下 session 共享方案

W_H_M_2018的博客

09-27

431

分布式架构下 session 共享方案 1. session 复制任何一个服务器上的 session 发生改变（增删改），该节点会把这个 session 的所有内容序列化，然后广播给所有其它节点，不管其他服务器需不需要 session ，以此来保证 session 同步优点：可容错，各个服务器间 session 能够实时响应。缺点：会对网络负荷造成一定压力，如果 session 量大的话可能会造成网络堵塞，拖慢服务器性能。 2. 粘性 session /IP 绑定策略采用 Ngnix

https 取不到session_从 http 到 https 的升级之路

weixin_35146639的博客

11-29

573

这不是一篇教程，所以在这里你看不到"干货"。它更像是一篇流水帐，记录了我们的公众号官网-Angular完全开发手册从http升级到https的整个过程，以及其中的一些坑。整个升级过程主要参考了 Secure Nginx with Let's Encrypt on CentOS 7这篇文章，如果你也有同样的需求，强烈建议拜读一下，这篇记录中的代码均引用自此。升级的原因最近仔细看了一下微信小...