设置TOMCAT SESSIONID 字符长度和生成算法
修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:
<Manager
sessionIdLength="20"
pathname="SESSIONS.ser"
maxActiveSessions="8000"
secureRandomAlgorithm="SHA1PRNG"
secureRandomClass="java.security.SecureRandom"
maxInactiveInterval="60"
/>
标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.
更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html
TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。
实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码
/**
* Generate and return a new session identifier.
*/
protected String generateSessionId() {
String result = null;
do {
if (result != null) {
duplicates++;
}
result = sessionIdGenerator.generateSessionId();
} while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的
return result;
}
所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。
因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用 java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等 等。
相关文章
- centOS(linux)系统中,java class文件应该如何放到Tomcat系统中?
- 【Web网站服务器开发】Apache 和 Tomcat的区别及配置
- solr-5.3部署到tomcat
- Docker安装+HelloWorld+运行Tomcat
- 修改tomcat配置解决定时任务多次重复执行
- Idea中配置Tomcat
- tomcat安全设置
- Nginx配置https,反向代理多实例tomcat的操作记录
- tomcat 配置 https 证书
- eclipse配置tomcat
- tomcat配置文件server.xml具体解释
- Tomcat配置一个ip绑定多个域名
- SpringBoot内置tomcat启动过程及原理
- Ubuntu Kylin 14.04 安装配置 jdk、eclipse、tomcat 通用
- Docker自动部署Apache Tomcat
- 【Jetty】Jetty 的工作原理以及与 Tomcat 的比较
- sts Spring tool suite中更改tomcat的默认发布目录