设置TOMCAT SESSIONID 字符长度和生成算法

修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:

<Manager

sessionIdLength="20"

pathname="SESSIONS.ser"

maxActiveSessions="8000"

secureRandomAlgorithm="SHA1PRNG"

secureRandomClass="java.security.SecureRandom"

maxInactiveInterval="60"

/>

标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.

更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html

TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。

实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码

/**

* Generate and return a new session identifier.

*/

protected String generateSessionId() {

String result = null;

do {

if (result != null) {

duplicates++;

}

result = sessionIdGenerator.generateSessionId();

} while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的

return result;

}

所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。

因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用 java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等 等。

相关推荐
充钱大佬6 小时前
Python测试基础教程
python·log4j·apache
初心丨哈士奇8 小时前
Python 四大基础容器|列表篇
python
明理的信封9 小时前
AI 基础设施的“去 Python 化“:Rust 与 C# 的两条替代路径
人工智能·python·rust
麻雀飞吧10 小时前
2026年AI量化开发,先跑通小流程再加复杂功能
人工智能·python
daphne odera�10 小时前
PyCharm 中 Codex 插件启动失败:unknown variant default 的解决方法
python·chatgpt·pycharm
nbu04william11 小时前
Deepseek-api省token的用法
python·大模型·token·deepseek
测试老哥11 小时前
Pytest自动化测试详解
自动化测试·软件测试·python·测试工具·测试用例·pytest·接口测试
坚持学习前端日记11 小时前
国产化适配全流程适配英伟达本地开发
人工智能·python
源图客12 小时前
云途物流API开发-鉴权认证(Java)
java·网络·python
三川69813 小时前
Tkinter库的学习记录06-变量类别
python