Sesja HTTP (httpSession)

Konfiguracja zarządzania sesjami HTTP.

Nazwa	Typ	Wartość domyślna	Opis
allowOverflow	wartość boolowska	true	Zezwala na przekroczenie przez liczbę sesji w pamięci wartości określonej przez właściwość Maksymalna liczba sesji w pamięci.
maxInMemorySessionCount	int	1000	Maksymalna liczba sesji do zachowania w pamięci dla każdego modułu WWW.
Informacje cookie
cookieDomain	string		Pole domeny w informacji cookie śledzenia sesji.
cookieHttpOnly	wartość boolowska	true	Określa, że informacje cookie dotyczące sesji mają zawierać pole HttpOnly. Przeglądarki obsługujące pole HttpOnly uniemożliwią dostęp do informacji cookie skryptom po stronie klienta. Używanie pola HttpOnly zapobiega atakom skryptowym między serwisami.
cookieMaxAge	Okres z dokładnością do sekundy	-1	Maksymalny okres przechowywania informacji cookie w przeglądarce klienta. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.
cookieName	string	JSESSIONID	Unikalna nazwa informacji cookie mechanizmu zarządzania sesją.
cookiePartitioned	defer false true	defer	Określa, że informacje cookie sesji zawierają atrybut Partitioned. Atrybut partycjonowany ma zastosowanie tylko wtedy, gdy atrybut SameSite ma wartość none i jest używany tylko przez przeglądarki, które obsługują partycjonowanie informacji cookie. Wartością domyślną jest Odrocz. defer Zezwól ustawieniom transportu HTTP na określenie, czy jest ustawiona opcja Partitioned (Partycjonowana). false Nie dodawaj informacji cookie sesji z partycjami. true Zawsze dodawaj informacje cookie dotyczące sesji, dla których opcja SameSite ma wartość None.
cookiePath	string	/	Informacja cookie jest wysyłana na adres URL wskazany w ścieżce.
cookieSameSite	Disabled Lax None Strict	Disabled	Określa wartość atrybutu SameSite, która ma być używana w informacjach cookie sesji. Disabled Nie ustawiaj wartości atrybutu SameSite w informacjach cookie sesji Lax Ustaw atrybut SameSite w informacjach cookie sesji na Lax None Ustaw atrybut SameSite w informacjach cookie sesji na None Strict Ustaw atrybut SameSite w informacjach cookie sesji na Strict
cookieSecure	wartość boolowska	false	Określa, że informacje cookie dotyczące sesji zawierają pole zabezpieczeń.
useContextRootAsCookiePath	wartość boolowska	false	Określa, że ścieżką informacji cookie jest kontekstowy katalog główny modułu WWW zamiast katalogu /
Mechanizm śledzenia sesji
cookiesEnabled	wartość boolowska	true	Określa, że mechanizm śledzenia sesji używa informacji cookie do przesyłania identyfikatorów sesji.
sslTrackingEnabled	wartość boolowska	false	Określa, że mechanizm śledzenia sesji używa informacji protokołu SSL (Secure Sockets Layer) jako identyfikatora sesji.
urlRewritingEnabled	wartość boolowska	false	Określa, że funkcja zarządzania sesjami używa ponownie zapisanych adresów URL do przesyłania identyfikatorów sesji.
Przebudowywanie adresów URL
alwaysEncodeUrl	wartość boolowska	false	Specyfikacja Servlet 2.5 określa, że nie należy kodować adresu URL metodą response.encodeURL, jeśli nie jest to konieczne. Aby zapewnić kompatybilność wsteczną po włączeniu kodowania adresu URL, należy ustawić tę właściwość na wartość true w celu wywołania metody encodeURL. Adres URL będzie zawsze kodowany, nawet gdy przeglądarka będzie obsługiwać informacje cookie.
protocolSwitchRewritingEnabled	wartość boolowska	false	Dodaje identyfikator sesji do adresu URL wtedy, gdy adres URL wymaga przełączenia z protokołu HTTP na HTTPS lub odwrotnie.
rewriteId	string	jsessionid	Ta właściwość służy do zmiany klucza używanego przy ponownym zapisywaniu adresu URL.
Przełączenie awaryjne
cloneId	string		Identyfikator klona elementu klastra. Ten identyfikator musi być unikalny w klastrze, aby zapewnić powinowactwo sesji. Po ustawieniu ta nazwa zastępuje nazwę domyślną, wygenerowaną przez serwer.
cloneSeparator	string	:	Pojedynczy znak służący do oddzielenia identyfikatora sesji od identyfikatora klona w informacjach cookie sesji. Najczęściej wystarczy użyć wartości domyślnej. W przypadku niektórych urządzeń obsługujących protokół WAP dwukropek (:) jest niedozwolony, więc należy go zastąpić znakiem plus (+). Rzadko konieczne jest używanie innych wartości. Przed zmianą znaku separatora klona należy dobrze poznać wymagania dotyczące znaków klona stawiane przez inne produkty działające w systemie. To że jako wartość tej właściwości można podać dowolny znak, nie oznacza, że podany znak będzie działać poprawnie. Nie wynika z tego też, że firma IBM będzie odpowiedzialna za rozwiązanie jakichkolwiek problemów wynikających z użycia innego znaku.
Unieważnianie
forceInvalidationMultiple	int	3	Jeśli żądania nie są normalnie ograniczone przez limit czasu odpowiedzi, należy podać 0, aby wskazać, że menedżer sesji powinien bezterminowo czekać na zakończenie żądania przed próbą unieważnienia sesji. W przeciwnym razie tej właściwości należy przypisać dodatnią liczbę całkowitą określającą opóźnienie unieważnienia aktywnych sesji. Aktywne sesje z przekroczonym limitem czasu nie będą unieważniane w pierwszym przebiegu unieważniania, ale zostaną unieważnione na podstawie okresu unieważniania opartego na tej wartości. Na przykład po podaniu wartości 2 aktywna sesja zostanie unieważniona przy drugim aktywowaniu mechanizmu unieważniania po przekroczeniu limitu czasu sesji.
invalidationTimeout	Okres z dokładnością do sekundy	30m	Okres, przez jaki sesja może pozostać nieużywana, zanim stanie się niepoprawna (w sekundach, jeśli nie podano jednostek czasu). Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.
reaperPollInterval	Okres z dokładnością do sekundy	-1	Okres aktywowania (w sekundach) procesu usuwającego niepoprawne sesje. Wartość minimalna to 30 sekund. W przypadku wprowadzenia wartości mniejszej niż minimalna odpowiednia wartość zostanie automatycznie wykryta i użyta. Ta wartość zastępuje podaną podczas instalacji wartość domyślną zawierającą się w przedziale od 30 do 360 sekund i opartą na wartości limitu czasu sesji. Ponieważ domyślny limit czasu sesji to 30 minut, okres mechanizmu usuwania zwykle mieści się w zakresie od 2 do 3 minut. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.
Zaawansowane
accessOnTimeout	wartość boolowska	true	Ta właściwość zapewnia serwletowi dostęp do sesji w taki sposób, że normalne wykonywanie jest możliwe nawet w sytuacji, gdy sesja jest nadal zablokowana przez inny serwlet. Ustaw tę właściwość na false, aby zatrzymać wykonywanie serwletu, gdy sesja zgłosi przekroczenie limitu czasu. Domyślną wartością jest true (prawda).
allowSerializedAccess	wartość boolowska	false	Włącz tę opcję, aby zezwolić na dostęp do danych sesji w postaci szeregowej.
debugCrossover	wartość boolowska	false	Po włączeniu tej opcji będą wykonywane dodatkowe testy sprawdzające, czy próba dostępu lub odwołanie dotyczy tylko sesji powiązanej z żądaniem. W przypadku wykrycia problemów będą też sprawdzane komunikaty dziennika. Aby pominąć dodatkowe sprawdzenia, należy wyłączyć tę opcję.
idLength	int	23	Długość identyfikatora sesji.
idReuse	wartość boolowska	false	W środowisku z wieloma maszynami JVM nieskonfigurowanym na potrzeby trwałości sesji przypisanie tej właściwości wartości true umożliwia menedżerowi sesji używanie tych samych informacji o sesji dla wszystkich żądań użytkownika nawet wtedy, gdy aplikacje WWW obsługujące te żądania są zarządzane przez różne maszyny JVM. Wartość domyślna tej właściwości to false. Przypisz tej właściwości wartość true, aby do zachowywania danych sesji między aplikacjami WWW działającymi w środowisku nieskonfigurowanym do utrwalania sesji menedżer sesji używał identyfikatora sesji wysyłanego z przeglądarki.
maxWaitTime	int	0	Czas (w sekundach), przez jaki serwlet czeka na sesję przed kontynuowaniem wykonywania.
modifyActiveCountOnInvalidatedSession	wartość boolowska	true	Pomiar activeCount obiektu Httpsession może być niedokładny, gdy dostęp do sesji uzyskuje więcej niż jedna aplikacja. Ustaw tę właściwość na "false", aby rozwiązać ten problem.
noAdditionalInfo	wartość boolowska	false	Wymusza usunięcie niepotrzebnych informacji z identyfikatorów sesji.
Zabezpieczenia
invalidateOnUnauthorizedSessionRequestException	wartość boolowska	false	Nadaj tej właściwości wartość true, jeśli w odpowiedzi na nieautoryzowane żądanie menedżer sesji ma unieważnić sesję, zamiast zgłaszać wyjątek UnauthorizedSessionRequestException. Po unieważnieniu sesji requester może utworzyć nową sesję, ale nie ma dostępu do żadnych zapisanych wcześniej danych sesji. Pozwala to pojedynczemu użytkownikowi kontynuować przetwarzanie żądań skierowanych do innych aplikacji po wylogowaniu, a jednocześnie chroni dane sesji.
securityIntegrationEnabled	wartość boolowska	true	Włącza funkcję integracji zabezpieczeń, co powoduje, że funkcja zarządzania sesjami wiąże tożsamości użytkowników z ich sesjami HTTP.
securityUserIgnoreCase	wartość boolowska	false	Wskazuje, że tożsamość zabezpieczeń sesji i tożsamość zabezpieczeń klienta powinny być uważane za zgodne, nawet jeśli różnią się wielkością liter. Na przykład po przypisaniu tej właściwości wartości true tożsamość zabezpieczeń sesji UZYTKOWNIK1 będzie uznawana za zgodną z tożsamościami zabezpieczeń klienta Uzytkownik1 i uzytkownik1.

Nazwa

Typ

Wartość domyślna

Opis

allowOverflow

wartość boolowska

true

Zezwala na przekroczenie przez liczbę sesji w pamięci wartości określonej przez właściwość Maksymalna liczba sesji w pamięci.

maxInMemorySessionCount

int

1000

Maksymalna liczba sesji do zachowania w pamięci dla każdego modułu WWW.

Informacje cookie

cookieDomain

string

Pole domeny w informacji cookie śledzenia sesji.

cookieHttpOnly

wartość boolowska

true

Określa, że informacje cookie dotyczące sesji mają zawierać pole HttpOnly. Przeglądarki obsługujące pole HttpOnly uniemożliwią dostęp do informacji cookie skryptom po stronie klienta. Używanie pola HttpOnly zapobiega atakom skryptowym między serwisami.

cookieMaxAge

Okres z dokładnością do sekundy

-1

Maksymalny okres przechowywania informacji cookie w przeglądarce klienta. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.

cookieName

string

JSESSIONID

Unikalna nazwa informacji cookie mechanizmu zarządzania sesją.

cookiePartitioned

defer
false
true

defer

Określa, że informacje cookie sesji zawierają atrybut Partitioned. Atrybut partycjonowany ma zastosowanie tylko wtedy, gdy atrybut SameSite ma wartość none i jest używany tylko przez przeglądarki, które obsługują partycjonowanie informacji cookie. Wartością domyślną jest Odrocz.
defer
Zezwól ustawieniom transportu HTTP na określenie, czy jest ustawiona opcja Partitioned (Partycjonowana).
false
Nie dodawaj informacji cookie sesji z partycjami.
true
Zawsze dodawaj informacje cookie dotyczące sesji, dla których opcja SameSite ma wartość None.

cookiePath

string

Informacja cookie jest wysyłana na adres URL wskazany w ścieżce.

cookieSameSite

Disabled
Lax
None
Strict

Disabled

Określa wartość atrybutu SameSite, która ma być używana w informacjach cookie sesji.
Disabled
Nie ustawiaj wartości atrybutu SameSite w informacjach cookie sesji
Lax
Ustaw atrybut SameSite w informacjach cookie sesji na Lax
None
Ustaw atrybut SameSite w informacjach cookie sesji na None
Strict
Ustaw atrybut SameSite w informacjach cookie sesji na Strict

cookieSecure

wartość boolowska

false

Określa, że informacje cookie dotyczące sesji zawierają pole zabezpieczeń.

useContextRootAsCookiePath

wartość boolowska

false

Określa, że ścieżką informacji cookie jest kontekstowy katalog główny modułu WWW zamiast katalogu /

Mechanizm śledzenia sesji

cookiesEnabled

wartość boolowska

true

Określa, że mechanizm śledzenia sesji używa informacji cookie do przesyłania identyfikatorów sesji.

sslTrackingEnabled

wartość boolowska

false

Określa, że mechanizm śledzenia sesji używa informacji protokołu SSL (Secure Sockets Layer) jako identyfikatora sesji.

urlRewritingEnabled

wartość boolowska

false

Określa, że funkcja zarządzania sesjami używa ponownie zapisanych adresów URL do przesyłania identyfikatorów sesji.

Przebudowywanie adresów URL

alwaysEncodeUrl

wartość boolowska

false

Specyfikacja Servlet 2.5 określa, że nie należy kodować adresu URL metodą response.encodeURL, jeśli nie jest to konieczne. Aby zapewnić kompatybilność wsteczną po włączeniu kodowania adresu URL, należy ustawić tę właściwość na wartość true w celu wywołania metody encodeURL. Adres URL będzie zawsze kodowany, nawet gdy przeglądarka będzie obsługiwać informacje cookie.

protocolSwitchRewritingEnabled

wartość boolowska

false

Dodaje identyfikator sesji do adresu URL wtedy, gdy adres URL wymaga przełączenia z protokołu HTTP na HTTPS lub odwrotnie.

rewriteId

string

jsessionid

Ta właściwość służy do zmiany klucza używanego przy ponownym zapisywaniu adresu URL.

Przełączenie awaryjne

cloneId

string

Identyfikator klona elementu klastra. Ten identyfikator musi być unikalny w klastrze, aby zapewnić powinowactwo sesji. Po ustawieniu ta nazwa zastępuje nazwę domyślną, wygenerowaną przez serwer.

cloneSeparator

string

Pojedynczy znak służący do oddzielenia identyfikatora sesji od identyfikatora klona w informacjach cookie sesji. Najczęściej wystarczy użyć wartości domyślnej. W przypadku niektórych urządzeń obsługujących protokół WAP dwukropek (:) jest niedozwolony, więc należy go zastąpić znakiem plus (+). Rzadko konieczne jest używanie innych wartości. Przed zmianą znaku separatora klona należy dobrze poznać wymagania dotyczące znaków klona stawiane przez inne produkty działające w systemie. To że jako wartość tej właściwości można podać dowolny znak, nie oznacza, że podany znak będzie działać poprawnie. Nie wynika z tego też, że firma IBM będzie odpowiedzialna za rozwiązanie jakichkolwiek problemów wynikających z użycia innego znaku.

Unieważnianie

forceInvalidationMultiple

int

Jeśli żądania nie są normalnie ograniczone przez limit czasu odpowiedzi, należy podać 0, aby wskazać, że menedżer sesji powinien bezterminowo czekać na zakończenie żądania przed próbą unieważnienia sesji. W przeciwnym razie tej właściwości należy przypisać dodatnią liczbę całkowitą określającą opóźnienie unieważnienia aktywnych sesji. Aktywne sesje z przekroczonym limitem czasu nie będą unieważniane w pierwszym przebiegu unieważniania, ale zostaną unieważnione na podstawie okresu unieważniania opartego na tej wartości. Na przykład po podaniu wartości 2 aktywna sesja zostanie unieważniona przy drugim aktywowaniu mechanizmu unieważniania po przekroczeniu limitu czasu sesji.

invalidationTimeout

Okres z dokładnością do sekundy

30m

Okres, przez jaki sesja może pozostać nieużywana, zanim stanie się niepoprawna (w sekundach, jeśli nie podano jednostek czasu). Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.

reaperPollInterval

Okres z dokładnością do sekundy

-1

Okres aktywowania (w sekundach) procesu usuwającego niepoprawne sesje. Wartość minimalna to 30 sekund. W przypadku wprowadzenia wartości mniejszej niż minimalna odpowiednia wartość zostanie automatycznie wykryta i użyta. Ta wartość zastępuje podaną podczas instalacji wartość domyślną zawierającą się w przedziale od 30 do 360 sekund i opartą na wartości limitu czasu sesji. Ponieważ domyślny limit czasu sesji to 30 minut, okres mechanizmu usuwania zwykle mieści się w zakresie od 2 do 3 minut. Określ dodatnią liczbę całkowitą, po której następuje jednostka czasu, taka jak godziny (h), minuty (m) lub sekundy (s). Na przykład określ 30 sekund jako 30s. W pojedynczej pozycji można zawrzeć wiele wartości. Na przykład 1m30s oznacza 90 sekund.

Zaawansowane

accessOnTimeout

wartość boolowska

true

Ta właściwość zapewnia serwletowi dostęp do sesji w taki sposób, że normalne wykonywanie jest możliwe nawet w sytuacji, gdy sesja jest nadal zablokowana przez inny serwlet. Ustaw tę właściwość na false, aby zatrzymać wykonywanie serwletu, gdy sesja zgłosi przekroczenie limitu czasu. Domyślną wartością jest true (prawda).

allowSerializedAccess

wartość boolowska

false

Włącz tę opcję, aby zezwolić na dostęp do danych sesji w postaci szeregowej.

debugCrossover

wartość boolowska

false

Po włączeniu tej opcji będą wykonywane dodatkowe testy sprawdzające, czy próba dostępu lub odwołanie dotyczy tylko sesji powiązanej z żądaniem. W przypadku wykrycia problemów będą też sprawdzane komunikaty dziennika. Aby pominąć dodatkowe sprawdzenia, należy wyłączyć tę opcję.

idLength

int

Długość identyfikatora sesji.

idReuse

wartość boolowska

false

W środowisku z wieloma maszynami JVM nieskonfigurowanym na potrzeby trwałości sesji przypisanie tej właściwości wartości true umożliwia menedżerowi sesji używanie tych samych informacji o sesji dla wszystkich żądań użytkownika nawet wtedy, gdy aplikacje WWW obsługujące te żądania są zarządzane przez różne maszyny JVM. Wartość domyślna tej właściwości to false. Przypisz tej właściwości wartość true, aby do zachowywania danych sesji między aplikacjami WWW działającymi w środowisku nieskonfigurowanym do utrwalania sesji menedżer sesji używał identyfikatora sesji wysyłanego z przeglądarki.

maxWaitTime

int

Czas (w sekundach), przez jaki serwlet czeka na sesję przed kontynuowaniem wykonywania.

modifyActiveCountOnInvalidatedSession

wartość boolowska

true

Pomiar activeCount obiektu Httpsession może być niedokładny, gdy dostęp do sesji uzyskuje więcej niż jedna aplikacja. Ustaw tę właściwość na "false", aby rozwiązać ten problem.

noAdditionalInfo

wartość boolowska

false

Wymusza usunięcie niepotrzebnych informacji z identyfikatorów sesji.

Zabezpieczenia

invalidateOnUnauthorizedSessionRequestException

wartość boolowska

false

Nadaj tej właściwości wartość true, jeśli w odpowiedzi na nieautoryzowane żądanie menedżer sesji ma unieważnić sesję, zamiast zgłaszać wyjątek UnauthorizedSessionRequestException. Po unieważnieniu sesji requester może utworzyć nową sesję, ale nie ma dostępu do żadnych zapisanych wcześniej danych sesji. Pozwala to pojedynczemu użytkownikowi kontynuować przetwarzanie żądań skierowanych do innych aplikacji po wylogowaniu, a jednocześnie chroni dane sesji.

securityIntegrationEnabled

wartość boolowska

true

Włącza funkcję integracji zabezpieczeń, co powoduje, że funkcja zarządzania sesjami wiąże tożsamości użytkowników z ich sesjami HTTP.

securityUserIgnoreCase

wartość boolowska

false

Wskazuje, że tożsamość zabezpieczeń sesji i tożsamość zabezpieczeń klienta powinny być uważane za zgodne, nawet jeśli różnią się wielkością liter. Na przykład po przypisaniu tej właściwości wartości true tożsamość zabezpieczeń sesji UZYTKOWNIK1 będzie uznawana za zgodną z tożsamościami zabezpieczeń klienta Uzytkownik1 i uzytkownik1.