Возможно ли переопределить встроенный генератор Tomcat JSESSIONID, чтобы иметь возможность создавать пользовательские значения этого файла cookie на основе логина пользователя?Как создать пользовательский JSESSIONID на основе некоторого хэша данных пользователя для репликации сеанса
Зачем мне это нужно: у меня есть балансировщик нагрузки с «липкими сеансами», настроенный для маршрутизации запросов с тем же JSESSIONID на тот же сервер, и я хочу предотвратить ситуацию, когда тот же пользователь может запускать два разных сеанса на разные серверы.
PS: все это о Amazon EC2
Мне было бы интересно узнать, что влияет на ваше приложение, если пользователю удастся запустить два разных сеанса на разных машинах, Vs. две разные сессии на одной машине –
Это хороший вопрос. 2 сеанса на двух машинах для разных пользователей лучше для общей производительности системы, чем 2 сеанса на 1 машине, но для одного и того же пользователя лучше иметь оба сеанса на одном компьютере, потому что они будут иметь общие данные. –
Я не эксперт по безопасности, но разве это не открытые отверстия для атак CSRF/Session hijack? Т.е. все, что мне нужно, это ваше генерируемое значение cookie JSESSION для выдачи себя за пользователя. –