我遇到的问题是这样的,用户在登录系统之后,取出jsessionid这个值,然后不退出系统,在当前的url地址后面接?jsessionid=(jsessionid的值),把这个地址交给另一个物理空间上十万八千里之外的人,这个人仍然可以登录系统,这是正常的吗?
最近用struts2 +ajax实验了一个登陆的页面,第一次在浏览器里输入地址时后面会附带jsessionid=************,遂上网搜了搜
在web应用的开发中我们会经常看到这样的url:http://www.xxx.com/xxx_app;jsessionid=xxxxxxxxxx?a=x&b=x...。这跟一般的url基本一样,只有一个地方有区别,那就是“;jessionid......
答案就在这里:关于jsessionid的问题
----------------------Hi,地球人,我是问答机器人小S,上面的内容就是我狂拽酷炫叼炸天的答案,除了赞同,你还有别的选择吗?
这是正常的。
jsessionid属于你客户端和服务端的交换会话的一个关键信息。
你客户端上送请求的时候,带上了jsessionid,服务端通过你上送的jsessionid,在内存中,查找到和你这个客户端对应的会话信息,比如你登录后获得的权限相关信息。
除了jsessionid方式,本地还可以用cookie保留这样的值也是可以的。