weblogic jsessionid cookie-secure
Will ich setzen " session-cookie "sicher", aber ich möchte in der Lage sein, um Zugriff auf die app mit http auf einige test-Boxen und https im oberen Umgebungen.
Ich bin Einstellung zu JSESSIONID cookie-secure=true diese Weise:
weblogic.xml:
<session-descriptor>
<cookie-http-only>true</cookie-http-only>
<cookie-secure>true</cookie-secure>
</session-descriptor>
HTTPS-requests funktionieren, aber jeden Antrag auf nicht-ssl-Protokoll ergibt sich eine neue JSESSIONID. Gibt es eine andere Einstellung die ich verwenden kann, bedingt set-cookie-secure ?
Schreibe einen Kommentar
Du musst angemeldet sein, um einen Kommentar abzugeben.
Es ist nicht notwendig, um das JSESSIONID-cookie sichern. Wenn die Auth Cookie Aktiviert flag aktiviert ist, das ist der Standardwert in der weblogic console.
Einstellung AuthCookieEnabled auf true, wird das WebLogic Server-Instanz zu senden, ein neues, Sicheres Plätzchen, _WL_AUTHCOOKIE_JSESSIONID, um den browser, wenn Sie die Authentifizierung über eine HTTPS-Verbindung. Sobald der secure cookie gesetzt, der die session zugreifen darf, der andere security-constrained HTTPS-Ressourcen nur dann, wenn der cookie vom browser.
So, WebLogic-Server benutzt zwei cookies: das JSESSIONID-cookie und _WL_AUTHCOOKIE_JSESSIONID cookie. Standardmäßig JSESSIONID cookie ist nie sicher, aber die _WL_AUTHCOOKIE_JSESSIONID Cookies ist immer sicher. Ein Sicheres cookie wird nur gesendet, wenn ein Kanal für die verschlüsselte Kommunikation verwendet wird. Unter der Annahme einer standard-HTTPS-login (HTTPS ist eine verschlüsselte HTTP-Verbindung), Ihr browser sowohl cookies.
für mehr info bitte sehen
http://docs.oracle.com/cd/E23943_01/web.1111/e13711/thin_client.htm#autoId4