Tomcat session生成算法

发布时间:2017-5-28 5:40:19 编辑:www.fx114.net 分享查询网我要评论
本篇文章主要介绍了"Tomcat session生成算法 ",主要涉及到Tomcat session生成算法 方面的内容,对于Tomcat session生成算法 感兴趣的同学可以参考一下。

详见:http://blog.yemou.net/article/query/info/tytfjhfascvhzxcyt396

修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签值,比如:

<Manager 

sessionIdLength="20" 

pathname="SESSIONS.ser" 

maxActiveSessions="8000" 

secureRandomAlgorithm="SHA1PRNG" 

secureRandomClass="java.security.SecureRandom" 

maxInactiveInterval="60"

/>

标红的部分不用我说大家也应该知道了,算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.

更多配置见:http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html

TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失,因为采用了较为安全的随机数来生成SESSION的ID值。

实际上TOMCAT生成的SESSIONID是不可能有重复值的,查看TOMCAT源码文件:ManagerBase.java中的以下代码

    /**

     * Generate and return a new session identifier.

     */

    protected String generateSessionId() {

        String result = null;

        do {

            if (result != null) {

                duplicates++;

            }

            result = sessionIdGenerator.generateSessionId();

        } while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的

        return result;

    }

所以,不必担心SESSIONID的安全性,如果有更好的实现,可以修改相应代码用于特定项目中。

因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分,比如采用 java.util.UUID+java.util.Random+(随机字符串)来构建更高效的生成SESSIONID的算法,或者自己实现相关部分等 等。

上一篇:干掉cmd:windows下使用linux命令行
下一篇:Java解析网段下包含的所有IP地址

相关文章

相关评论

本站评论功能暂时取消,后续此功能例行通知。

一、不得利用本站危害国家安全、泄露国家秘密,不得侵犯国家社会集体的和公民的合法权益,不得利用本站制作、复制和传播不法有害信息!

二、互相尊重,对自己的言论和行为负责。