Session 跟踪模式SSL与COOKIE相比有哪些优势?
我正在创建一个部署在Tomcat/EE中的JSF应用程序(使用CLIENTCERTs)。默认情况下,在URL中设置了Session 跟踪模式SSL与COOKIE相比有哪些优势?,session,tomcat,jsf-2,session-cookies,Session,Tomcat,Jsf 2,Session Cookies,我正在创建一个部署在Tomcat/EE中的JSF应用程序(使用CLIENTCERTs)。默认情况下,在URL中设置了jsessionid(生成时使用了,因此看起来很安全),我通过更改 现在,我正试图找出使用以下方法的安全优势/劣势: SSLvs.COOKIE (考虑到安全性几乎总是会影响性能和其他变量)。可能其中一个问题是,我不知道SSL跟踪模式到底做什么。不太清楚 我什么时候应该使用其中一种 PS:我知道这不是Tomcat或JSF的特例,但我需要给出问题的上下文,我建议使用基于cookie的会
jsessionid
(生成时使用了,因此看起来很安全),我通过更改
现在,我正试图找出使用以下方法的安全优势/劣势:
SSL
vs.COOKIE
(考虑到安全性几乎总是会影响性能和其他变量)。可能其中一个问题是,我不知道SSL跟踪模式到底做什么。不太清楚
我什么时候应该使用其中一种
PS:我知道这不是Tomcat或JSF的特例,但我需要给出问题的上下文,我建议使用基于cookie的会话跟踪而不是SSL会话跟踪,原因如下:
我认为使用基于SSL的会话跟踪没有任何好处。我想在@Christopher Schultz的回答中添加一些细节
- 如果您的应用程序未使用客户端证书,则使用cookies可能更方便。正如克里斯托弗所指出的,原因是会话可能无效。不过,我没有测试过这一点,这只是一个理论印象
- 如果使用了客户端证书,我已经验证了通过SSL连接跟踪会话是完全有效的。我已经这样做了一段时间,我没有发现任何问题,也没有发现意外的错误/注销,也没有发现用户必须再次登录的繁琐过程。在我看来,在某些情况下,SSL甚至可能是一种更干净的方式来保持 会议。请注意,开发人员可能需要保持一些安全性 使用cookie时的注意事项(例如…)。我并不是说这是选择SSL的理由 跟踪,因为开发人员可能需要保持一些安全性 关于SSL跟踪会话的注意事项,我只是说我是 目前还不知道,而我知道的饼干的
- 如果您选择SSL跟踪,并且正在使用JSF(Java EE)和例如
s,则在使用不安全的HTTP时会出现问题,因为如果没有TLS/SSL,JSF将无法跟踪会话。因此,如果您需要JSF和需要跟踪会话的作用域,并且需要对应用程序进行HTTP访问,那么您应该进行COOKIE跟踪。另一方面,如果您总是使用HTTPS,或者不需要使用,例如@ViewScoped
,那么SSL跟踪完全可以@ViewScoped