weblogic jsessionid cookie-безопасный

Я хочу установить cookie сеанса как «безопасный», но я хочу иметь возможность доступа к приложению с помощью http в некоторых тестовых полях и https в верхних средах.

Я устанавливаю для JSESSIONID значение cookie-secure = true следующим образом:

weblogic.xml:

<session-descriptor>
    <cookie-http-only>true</cookie-http-only>
    <cookie-secure>true</cookie-secure>
</session-descriptor>

Запросы HTTPS работают нормально, но каждый запрос по протоколу, отличному от ssl, выдает новый JSESSIONID. Есть ли другие настройки, которые я могу использовать для условной защиты файлов cookie?


session-cookies jsessionid weblogic
person Elijah    schedule 25.04.2014    source источник

Ответы (1)


arrow_upward
4
arrow_downward

Нет необходимости делать cookie JSESSIONID безопасным. Если установлен флаг Auth Cookie Enabled, который установлен по умолчанию в консоли weblogic.

Если для AuthCookieEnabled установлено значение true, экземпляр WebLogic Server отправляет в браузер новый безопасный файл cookie, _WL_AUTHCOOKIE_JSESSIONID, при аутентификации через соединение HTTPS. После установки безопасного файла cookie сеансу разрешается доступ к другим ресурсам HTTPS с ограничениями безопасности, только если файл cookie отправляется из браузера.

Таким образом, WebLogic Server использует два файла cookie: файл cookie JSESSIONID и файл cookie _WL_AUTHCOOKIE_JSESSIONID. По умолчанию файл cookie JSESSIONID никогда не является безопасным, но файл cookie _WL_AUTHCOOKIE_JSESSIONID всегда безопасен. Безопасный файл cookie отправляется только при использовании зашифрованного канала связи. Если вы используете стандартный HTTPS-вход (HTTPS - это зашифрованное HTTP-соединение), ваш браузер получит оба файла cookie.

для получения дополнительной информации см. http://docs.oracle.com/cd/E23943_01/web.1111/e13711/thin_client.htm#autoId4

person SudhirE    schedule 29.04.2014
comment
спасибо @SudhirE. Объяснение имеет смысл. Что происходит, когда приложение по ошибке записывает http-ссылку на какую-либо страницу. Откроется ли это для перехвата сеанса? Это была первоначальная причина попытки отключить небезопасный файл cookie сеанса - неправильная конфигурация. Нужен ли MiM как JSESSIONID, так и _WL_AUTHCOOKIE_JSESSIONID. - person Elijah; 30.04.2014