jsessionid與cookie關係的理解

本地測試地址為http://localhost/TEST/login.jsf

當瀏覽器打開cookie時，瀏覽器第一次與服務器建立連接，會創建一個session，並生成一個id即jsessionid，通過response header中的set-cookie方法傳遞給client，當server判斷request中沒有包含jsessionid的cookie時，就是通過URL改寫機制向client傳信息。

在首次瀏覽器與服務器建立連接的請求中，request中並沒有發現保存著jsessionid的cookie，所以會將jsessionid通過追加到URL的方式傳回給client，見下圖2。也就是此時的地址變為http://localhost/TEST/login.jsf;jsessionid=1FBE8ABA3F5CDF90A2C00CDB24840685。從request header中也可以看到，此時client接收到了jsessionid，並將它保存在cookie中，並在每次請求中都會攜帶。可以在後台通過request.getRequestSessionId()的方式查看請求中是否包含session id，當然也可以通過request.getSession().getId()的方式獲取每次創建會話的session id。

當瀏覽器關閉cookie時，即瀏覽器不允許讀取cookie，那麼每次登陸瀏覽器頁面或者在頁面中發起請求，都可以看到response header中存在set-cookie，且每次生成的session id都不同，這是因為瀏覽器不允許讀寫cookie，所以瀏覽器與服務器創建會話時便會重新創建session，生成新的session id。而由於每次request header中都不會包含jsessionid的cookie，所以jsessionid會通過改寫URL的方式傳給client，也就是地址會變為http://localhost/TEST/login.jsf;jsessionid=xxx。

jsessionid通過重寫url的方式傳給client這種方式傳給client其實非常不安全，有很多博客寫了，具體哪些看其他博客分析。我們將如何避免：

tomcat7可以通過在web.xml的session-config中設置tracking-mode。<tracking-mode>用于表示容器应该使用哪种技术追踪会话id，它有三個合法值可供選擇。設置URL則會將jsessionid顯示在地址欄中，不安全；設置SSL是最安全的方式，但要求所有请求都必须是HTTPS；最後設置為COOKIE，會將jsessionid儲存在cookie中，即使瀏覽器禁用了cookie，也不會將jsessionid顯示在url上

一些有用的網址

https://fralef.me/tomcat-disable-jsessionid-in-url.html

https://blog.csdn.net/weixin_30840573/article/details/96675887

https://www.jianshu.com/p/f2e5db637ed4