mvc framework form spring tomcat6 shiro prettyfaces

spring - framework - Eliminar jsessionid de la URL



spring mvc (7)

El siguiente filtro puede resolver su problema (de http://randomcoder.org/maven/site/randomcoder-website/cobertura/org.randomcoder.security.DisableUrlSessionFilter.html )

package com.companyname.projectname.web.filter; import java.io.IOException; import javax.servlet.Filter; import javax.servlet.FilterChain; import javax.servlet.FilterConfig; import javax.servlet.ServletException; import javax.servlet.ServletRequest; import javax.servlet.ServletResponse; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpServletResponseWrapper; import javax.servlet.http.HttpSession; /** * Servlet filter which disables URL-encoded session identifiers. * * <pre> * Copyright (c) 2006, Craig Condit. All rights reserved. * * Redistribution and use in source and binary forms, with or without * modification, are permitted provided that the following conditions are met: * * * Redistributions of source code must retain the above copyright notice, * this list of conditions and the following disclaimer. * * Redistributions in binary form must reproduce the above copyright notice, * this list of conditions and the following disclaimer in the documentation * and/or other materials provided with the distribution. * * THIS SOFTWARE IS PROVIDED BY THE COPYRIGHT HOLDERS AND CONTRIBUTORS "AS IS" * AND ANY EXPRESS OR IMPLIED WARRANTIES, INCLUDING, BUT NOT LIMITED TO, THE * IMPLIED WARRANTIES OF MERCHANTABILITY AND FITNESS FOR A PARTICULAR PURPOSE * ARE DISCLAIMED. IN NO EVENT SHALL THE COPYRIGHT OWNER OR CONTRIBUTORS BE * LIABLE FOR ANY DIRECT, INDIRECT, INCIDENTAL, SPECIAL, EXEMPLARY, OR * CONSEQUENTIAL DAMAGES (INCLUDING, BUT NOT LIMITED TO, PROCUREMENT OF * SUBSTITUTE GOODS OR SERVICES; LOSS OF USE, DATA, OR PROFITS; OR BUSINESS * INTERRUPTION) HOWEVER CAUSED AND ON ANY THEORY OF LIABILITY, WHETHER IN * CONTRACT, STRICT LIABILITY, OR TORT (INCLUDING NEGLIGENCE OR OTHERWISE) * ARISING IN ANY WAY OUT OF THE USE OF THIS SOFTWARE, EVEN IF ADVISED OF THE * POSSIBILITY OF SUCH DAMAGE. * </pre> */ public class DisableUrlSessionFilter implements Filter { /* private static Log logger = LogFactory.getLog(DisableUrlSessionFilter.class); */ /** * Filters requests to disable URL-based session identifiers. */ public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { // skip non-http requests if (!(request instanceof HttpServletRequest)) { chain.doFilter(request, response); return; } HttpServletRequest httpRequest = (HttpServletRequest) request; HttpServletResponse httpResponse = (HttpServletResponse) response; // clear session if session id in URL if (httpRequest.isRequestedSessionIdFromURL()) { HttpSession session = httpRequest.getSession(); if (session != null) { session.invalidate(); } } // wrap response to remove URL encoding HttpServletResponseWrapper wrappedResponse = new HttpServletResponseWrapper( httpResponse) { @Override public String encodeRedirectUrl(String url) { return url; } @Override public String encodeRedirectURL(String url) { return url; } @Override public String encodeUrl(String url) { return url; } @Override public String encodeURL(String url) { return url; } }; // process next request in chain chain.doFilter(request, wrappedResponse); } /** * Unused. */ public void init(FilterConfig config) throws ServletException { } /** * Unused. */ public void destroy() { } }

Estoy trabajando en un proyecto con las siguientes tecnologías:

  • Primavera
  • ShiroFilter
  • PrettyFaces
  • Servidor tomcat

Mientras lo implemento en el servidor tomcat, "JSESSIONID 456jghd787aa" un "JSESSIONID 456jghd787aa" agregado al final de la URL.

Estaba tratando de resolver esto pero no puedo hacer eso.


Jetty WebappContext:

Set<SessionTrackingMode> trackingModes = new HashSet<>(); trackingModes.add(SessionTrackingMode.COOKIE); context.getSessionHandler().getSessionManager().setSessionTrackingModes(trackingModes);


Para Tomcat 7 agrega esto a web.xml

<session-config> <!-- Disables URL-based sessions (no more ''jsessionid'' in the URL using Tomcat) --> <tracking-mode>COOKIE</tracking-mode> </session-config>


Puede agregar esa configuración en su etiqueta http de la siguiente manera:

<http auto-config="false" disable-url-rewriting="true">


Querrá quitarlo de Tomcat, como han sugerido otros, pero aún tendrá problemas con Shiro agregándolo al final en las redirecciones si aún no tiene un conjunto de cookies. Hay dos entradas abiertas en el problema:

https://issues.apache.org/jira/browse/SHIRO-360

https://issues.apache.org/jira/browse/SHIRO-361

Intenté que la Reescritura de URL de Tuckey funcionara y tuve éxito (más o menos) después de un tiempo. El problema es que Shiro no llama a response.encodeURL () y, por lo tanto, dispara las reglas de salida. Pude redirigir las solicitudes de entrada para eliminar el ID de sesión con estas dos reglas:

<rule> <note>Remove jsessionid from embedded urls - for urls WITH query parameters</note> <from>^/(.*);JSESSIONID=.*[?](.*)$</from> <to type="redirect">/$1?$2</to> </rule> <rule> <note>Remove jsessionid from embedded urls - for urls WITHOUT query parameters</note> <from>^/(.*);JSESSIONID=.*[^?]$</from> <to type="redirect">/$1</to> </rule>

Eso al menos hace que no se muestre en el navegador, pero no resuelve completamente el problema, ya que la ID de la sesión se envió en la URL y se redirigió a la ubicación sin ella. Sería mejor si nunca apareció en absoluto.

ACTUALIZAR:

SHIRO-360 y SHIRO-361 se han corregido y la solución está en Shiro 1.3.0. Según Brian Demers en SHIRO-361:

Establezca sessionManager.sessionIdUrlRewritingEnabled = false para deshabilitar la adición de JSESSIONID a la URL.

NOTA: si un usuario ha desactivado las cookies, NO podrá iniciar sesión si está desactivado.



  • Tomcat 6, agregue disableURLRewriting = "true" en su context.xml

  • Tomcat 7 y ServletFilter ya han sido discutidos

  • O programáticamente:

servletContext.setSessionTrackingModes (EnumSet.of (SessionTrackingMode.COOKIE));