乐者为王

Do one thing, and do it well.

如何在Web应用的HTTP与HTTPS间的相互切换

对于HTTPS和HTTP的不同请求,Web容器会生成两个不同的session对象。因此,如果在同一个Web应用中只有部分页面使用SSL,要保证使用SSL的页面与不使用SSL的页面间的相互切换(也就是HTTPS请求与HTTP请求间的切换)会话保持连续,那么可以通过在访问的URL中传递sessionId来实现,也就是说在进入或退出HTTPS的URL上绑定一个sessionId。比如从HTTP切换到HTTPS时,URL为https://example.com/login.do;jsessionid=<%=session.getId()%>,从HTTPS切换到HTTP时为http://example.com/welcome.do;jsessionid=<%=session.getId()%>。这样Web容器会根据这个sessionId获取session对象,而不是生成新的session对象。就可以保证HTTP和HTTPS切换时会话不变。

由于在URL上绑定的sessionId容易被窃取,为了保证用户安全,会话认证时需要结合客户端IP地址。即当用户登录后,通过session.setAttribute("clientIp", request.getRemoteAddr())保存客户端的IP地址,在后继认证会话的合法性时判断客户端的IP是否是原先存储在session对象的clientIP属性的IP地址,如果不是则该会话是非法会话。

Comments