Java Tomcat能否为HTTPS请求提供单独（或仅HTTPS）会话？

我有一个包含安全（SSL）和非安全页面的web应用程序

用户可以登录到站点，并且必须在SSL和非SSL区域中显示为已登录

（注意，SSL不是通过Tomcat实现的，而是通过位于Tomcat前面的ApacheHTTPD服务器实现的——因此Tomcat没有SSL配置。）

登录状态当前通过servlet会话维护（使用Tomcat的普通会话管理）

这种方法的一个明显问题是JSESSIONID cookie是通过HTTP和HTTPS连接传输的，这意味着有可能拦截它并劫持会话

在不使用我们自己的会话管理的情况下，是否有任何解决方案（即Tomcat是否满足这种情况）

---

我准备实现我们自己的会话管理，但不想重新发明一些可能已经得到支持的东西。

你说SSL是在Apache服务器上实现的，而不是传递给Tomcat，所以Tomcat将整个过程视为HTTP？如果是这样，Tomcat将不会创建单独的JSessionID，因为它不知道HTTPS

---

您可以检查请求.GETUsRealPrimePalm（）以查看用户是否登录。

好点，虽然标题是转发的，因此HTTPS标志存在，但是Tomcat可能不考虑。感谢您提醒我们有关用户主体的信息（花在自主开发的身份验证方法上的时间太长：）