Sesión HTTP (httpSession)

Configuración para la gestión de sesiones HTTP.

Nombre	Tipo	Por omisión	Descripción
allowOverflow	boolean	true	Permite que el número de sesiones en memoria supere el valor de la propiedad de recuento máximo de sesiones en la memoria.
maxInMemorySessionCount	int	1000	Número máximo de sesiones que se deben mantener en memoria para cada módulo web.
Avanzado
accessOnTimeout	boolean	true	Esta propiedad proporciona al servlet acceso a la sesión, lo que permite la ejecución normal aunque la sesión siga bloqueada por otro servlet. Establezca esta propiedad en false para detener la ejecución del servlet cuando la sesión solicita un tiempo de espera. El valor por omisión es true.
allowSerializedAccess	boolean	false	Habilite esta opción para permitir el acceso serializado a los datos de la sesión.
debugCrossover	boolean	false	Habilite esta opción para realizar comprobaciones adicionales para verificar que sólo se accede o hace referencia a la sesión asociada con la solicitud, y registrar mensajes si se detectan discrepancias. Inhabilite esta opción para omitir las comprobaciones adicionales.
idLength	int	23	Longitud del identificador de sesión.
idReuse	boolean	false	En un entorno de varias JVM que no se ha configurado para la persistencia de sesiones, cuando se establece esta propiedad en "true", el gestor de sesiones puede utilizar la misma información de sesión para todas las solicitudes de un usuario, aunque las aplicaciones web que manejan estas solicitudes estén gobernadas por distintas JVM. El valor por omisión para esta propiedad es false. Establezca esta propiedad en true si desea habilitar el gestor de sesiones para que utilice el identificador de sesión enviado desde un navegador para conservar los datos de sesión entre las aplicaciones web que se ejecutan en un entorno que no está configurado para la persistencia de sesiones.
maxWaitTime	int	0	Cantidad de tiempo, en segundos, que un servlet espera en una sesión antes de continuar la ejecución.
modifyActiveCountOnInvalidatedSession	boolean	true	La métrica Httpsession activeCount podría tornarse imprecisa cuando múltiples aplicaciones acceden a la sesión. Establezca la propiedad en "false" para resolver el problema.
noAdditionalInfo	boolean	false	Fuerza la eliminación de la información que no es necesaria en los identificadores de sesión.
Cookies
cookieDomain	string		Campo de dominio de una cookie de seguimiento de sesiones.
cookieHttpOnly	boolean	true	Especifica que las cookies de la sesión incluyen el campo HttpOnly. Los navegadores que soportan el campo HttpOnly no permiten acceder a las cookies mediante scripts del lado del cliente. La utilización del campo HttpOnly ayuda a prevenir ataques mediante scripts de otros sitios.
cookieMaxAge	Un período de tiempo con precisión de segundos	-1	Cantidad máxima de tiempo que una cookie puede residir en el navegador del cliente. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.
cookieName	string	JSESSIONID	Un nombre exclusivo para una cookie de gestión de sesiones.
cookiePath	string	/	Una cookie se envía al URL designado en la vía de acceso.
cookieSameSite	Disabled Lax None Strict	Disabled	Especifica un valor de atributo de SameSite a utilizar para cookies de sesión. Disabled No establezca un valor de atributo de SameSite en los cookies de sesión Lax Establezca el valor de atributo de SameSite de cookie de sesión en Lax None Establezca el valor de atributo de SameSite de cookie de sesión en None Strict Establezca el valor de atributo de SameSite de cookie de sesión en Strict
cookieSecure	boolean	false	Especifica que las cookies de la sesión incluyen el campo protegido.
useContextRootAsCookiePath	boolean	false	Especifica que la vía de acceso de cookie es igual que la raíz de contexto del módulo web en lugar de /
Invalidación
forceInvalidationMultiple	int	3	Si las solicitudes normalmente no están enlazadas por un límite de tiempo de respuesta, especifique 0 para indicar que el gestor de sesiones debe esperar indefinidamente hasta que se complete la solicitud antes de intentar invalidar la sesión. De lo contrario, establezca esta propiedad en un entero positivo para retardar la invalidación de las sesiones activas. Las sesiones activas que han excedido el tiempo de espera no se invalidarán mediante el primer paso del intervalo de invalidación, pero se invalidarán utilizando el paso de intervalo que determine este valor. Por ejemplo, un valor 2 invalidará una sesión activa en el segundo paso del intervalo de invalidación después de que el tiempo de espera de la sesión haya caducado.
invalidationTimeout	Un período de tiempo con precisión de segundos	30m	Cantidad de tiempo que una sesión puede pasar sin utilizarse antes de que deje de ser válida, en segundos si la unidad de tiempo no está especificada. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.
reaperPollInterval	Un período de tiempo con precisión de segundos	-1	El intervalo de activación, en segundos, del proceso que elimina las sesiones no válidas. El valor mínimo es 30 segundos. Si se especifica un valor menor que el mínimo, se determina y se utiliza automáticamente un valor adecuado. Este valor altera temporalmente el valor de instalación por omisión, que es entre 30 y 360 segundos, según el valor de tiempo de espera de la sesión. Como el tiempo de espera de sesión por omisión es 30 minutos, el intervalo de reaper es generalmente entre 2 y 3 minutos. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.
Mecanismo de seguimiento de sesiones
cookiesEnabled	boolean	true	Especifica que el seguimiento de sesiones utiliza cookies para transportar los identificadores de sesión.
sslTrackingEnabled	boolean	false	Especifica que el seguimiento de sesiones utiliza la información de SSL (capa de sockets seguros) como un identificador de sesión.
urlRewritingEnabled	boolean	false	Especifica que el recurso de gestión de sesiones utiliza los URL reescritos para transportar los identificadores de sesión.
Migración tras error
cloneId	string		El identificador del clon del miembro del clúster. En un clúster, este identificador debe ser exclusivo para mantener la afinidad de sesiones. Cuando se establece, este nombre sobrescribe el nombre por omisión generado por el servidor.
cloneSeparator	string	:	El carácter individual que se utiliza para separar el identificador de sesión de identificador de clon en las cookies de sesión. Normalmente, se utilizará el valor por omisión. En algunos dispositivos Wireless Application Protocol (WAP), no se permite utilizar dos puntos (:); en su lugar, debe utilizarse un signo más (+). En casos excepcionales deben utilizarse valores diferentes. Debe comprender los requisitos de carácter clon de los demás productos que se ejecuten en el sistema para poder utilizar esta propiedad para cambiar el carácter separador de clones. El hecho de que puede especificarse cualquier carácter como valor de esta propiedad no implica que el carácter que especifique funcionará correctamente. Este hecho tampoco implica que IBM sea responsable de corregir los problemas que puedan surgir al utilizar un juego de caracteres alternativo.
Reescritura de URL
alwaysEncodeUrl	boolean	false	La especificación Servlet 2.5 especifica no codificar el URL en una llamada response.encodeURL si no es necesario. Para dar soporte a la compatibilidad con versiones anteriores cuando la codificación de URL está habilitada, establezca esta propiedad en true para llamar al método encodeURL. El URL siempre se codifica, aunque el navegador dé soporte a cookies.
protocolSwitchRewritingEnabled	boolean	false	Añade el identificador de sesión a un URL cuando el URL necesita un cambio de HTTP a HTTPS o de HTTPS a HTTP.
rewriteId	string	jsessionid	Utilice esta propiedad para cambiar la clave utilizada con la reescritura de URL.
Seguridad
invalidateOnUnauthorizedSessionRequestException	boolean	false	Establezca esta propiedad en true si, en respuesta a una solicitud no autorizada, desea que el gestor de sesiones invalide una sesión en lugar de emitir una UnauthorizedSessionRequestException. Cuando se invalida una sesión, el solicitante puede crear una sesión nueva, pero no tiene acceso a ninguno de los datos de sesión guardados anteriormente. Esto permite a un usuario individual seguir procesando solicitudes a otras aplicaciones después de un cierre de sesión mientras se siguen protegiendo los datos de sesión.
securityIntegrationEnabled	boolean	true	Habilita la integración de seguridad, lo que hace que el recurso de gestión de sesiones asocie la identidad de los usuarios con sus sesiones HTTP.
securityUserIgnoreCase	boolean	false	Indica que la identidad de seguridad de la sesión y la identidad de seguridad del cliente deben considerarse una coincidencia, aunque las mayúsculas y minúsculas sean diferentes. Por ejemplo, cuando esta propiedad está definida en true, la identidad de seguridad de sesión USER1 coincide con las identidad de seguridad de cliente User1 y user1.

Nombre

Tipo

Por omisión

Descripción

allowOverflow

boolean

true

Permite que el número de sesiones en memoria supere el valor de la propiedad de recuento máximo de sesiones en la memoria.

maxInMemorySessionCount

int

1000

Número máximo de sesiones que se deben mantener en memoria para cada módulo web.

Avanzado

accessOnTimeout

boolean

true

Esta propiedad proporciona al servlet acceso a la sesión, lo que permite la ejecución normal aunque la sesión siga bloqueada por otro servlet. Establezca esta propiedad en false para detener la ejecución del servlet cuando la sesión solicita un tiempo de espera. El valor por omisión es true.

allowSerializedAccess

boolean

false

Habilite esta opción para permitir el acceso serializado a los datos de la sesión.

debugCrossover

boolean

false

Habilite esta opción para realizar comprobaciones adicionales para verificar que sólo se accede o hace referencia a la sesión asociada con la solicitud, y registrar mensajes si se detectan discrepancias. Inhabilite esta opción para omitir las comprobaciones adicionales.

idLength

int

Longitud del identificador de sesión.

idReuse

boolean

false

En un entorno de varias JVM que no se ha configurado para la persistencia de sesiones, cuando se establece esta propiedad en "true", el gestor de sesiones puede utilizar la misma información de sesión para todas las solicitudes de un usuario, aunque las aplicaciones web que manejan estas solicitudes estén gobernadas por distintas JVM. El valor por omisión para esta propiedad es false. Establezca esta propiedad en true si desea habilitar el gestor de sesiones para que utilice el identificador de sesión enviado desde un navegador para conservar los datos de sesión entre las aplicaciones web que se ejecutan en un entorno que no está configurado para la persistencia de sesiones.

maxWaitTime

int

Cantidad de tiempo, en segundos, que un servlet espera en una sesión antes de continuar la ejecución.

modifyActiveCountOnInvalidatedSession

boolean

true

La métrica Httpsession activeCount podría tornarse imprecisa cuando múltiples aplicaciones acceden a la sesión. Establezca la propiedad en "false" para resolver el problema.

noAdditionalInfo

boolean

false

Fuerza la eliminación de la información que no es necesaria en los identificadores de sesión.

Cookies

cookieDomain

string

Campo de dominio de una cookie de seguimiento de sesiones.

cookieHttpOnly

boolean

true

Especifica que las cookies de la sesión incluyen el campo HttpOnly. Los navegadores que soportan el campo HttpOnly no permiten acceder a las cookies mediante scripts del lado del cliente. La utilización del campo HttpOnly ayuda a prevenir ataques mediante scripts de otros sitios.

cookieMaxAge

Un período de tiempo con precisión de segundos

-1

Cantidad máxima de tiempo que una cookie puede residir en el navegador del cliente. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.

cookieName

string

JSESSIONID

Un nombre exclusivo para una cookie de gestión de sesiones.

cookiePath

string

Una cookie se envía al URL designado en la vía de acceso.

cookieSameSite

Disabled
Lax
None
Strict

Disabled

Especifica un valor de atributo de SameSite a utilizar para cookies de sesión.
Disabled
No establezca un valor de atributo de SameSite en los cookies de sesión
Lax
Establezca el valor de atributo de SameSite de cookie de sesión en Lax
None
Establezca el valor de atributo de SameSite de cookie de sesión en None
Strict
Establezca el valor de atributo de SameSite de cookie de sesión en Strict

cookieSecure

boolean

false

Especifica que las cookies de la sesión incluyen el campo protegido.

useContextRootAsCookiePath

boolean

false

Especifica que la vía de acceso de cookie es igual que la raíz de contexto del módulo web en lugar de /

Invalidación

forceInvalidationMultiple

int

Si las solicitudes normalmente no están enlazadas por un límite de tiempo de respuesta, especifique 0 para indicar que el gestor de sesiones debe esperar indefinidamente hasta que se complete la solicitud antes de intentar invalidar la sesión. De lo contrario, establezca esta propiedad en un entero positivo para retardar la invalidación de las sesiones activas. Las sesiones activas que han excedido el tiempo de espera no se invalidarán mediante el primer paso del intervalo de invalidación, pero se invalidarán utilizando el paso de intervalo que determine este valor. Por ejemplo, un valor 2 invalidará una sesión activa en el segundo paso del intervalo de invalidación después de que el tiempo de espera de la sesión haya caducado.

invalidationTimeout

Un período de tiempo con precisión de segundos

30m

Cantidad de tiempo que una sesión puede pasar sin utilizarse antes de que deje de ser válida, en segundos si la unidad de tiempo no está especificada. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.

reaperPollInterval

Un período de tiempo con precisión de segundos

-1

El intervalo de activación, en segundos, del proceso que elimina las sesiones no válidas. El valor mínimo es 30 segundos. Si se especifica un valor menor que el mínimo, se determina y se utiliza automáticamente un valor adecuado. Este valor altera temporalmente el valor de instalación por omisión, que es entre 30 y 360 segundos, según el valor de tiempo de espera de la sesión. Como el tiempo de espera de sesión por omisión es 30 minutos, el intervalo de reaper es generalmente entre 2 y 3 minutos. Especifica un entero positivo seguido de una unidad de tiempo, que puede ser horas (h), minutos (m) o segundos (s). Por ejemplo, especifique 30 segundos como 30s. Puede incluir varios valores en una sola entrada. Por ejemplo, 1m30s es equivalente a 90 segundos.

Mecanismo de seguimiento de sesiones

cookiesEnabled

boolean

true

Especifica que el seguimiento de sesiones utiliza cookies para transportar los identificadores de sesión.

sslTrackingEnabled

boolean

false

Especifica que el seguimiento de sesiones utiliza la información de SSL (capa de sockets seguros) como un identificador de sesión.

urlRewritingEnabled

boolean

false

Especifica que el recurso de gestión de sesiones utiliza los URL reescritos para transportar los identificadores de sesión.

Migración tras error

cloneId

string

El identificador del clon del miembro del clúster. En un clúster, este identificador debe ser exclusivo para mantener la afinidad de sesiones. Cuando se establece, este nombre sobrescribe el nombre por omisión generado por el servidor.

cloneSeparator

string

El carácter individual que se utiliza para separar el identificador de sesión de identificador de clon en las cookies de sesión. Normalmente, se utilizará el valor por omisión. En algunos dispositivos Wireless Application Protocol (WAP), no se permite utilizar dos puntos (:); en su lugar, debe utilizarse un signo más (+). En casos excepcionales deben utilizarse valores diferentes. Debe comprender los requisitos de carácter clon de los demás productos que se ejecuten en el sistema para poder utilizar esta propiedad para cambiar el carácter separador de clones. El hecho de que puede especificarse cualquier carácter como valor de esta propiedad no implica que el carácter que especifique funcionará correctamente. Este hecho tampoco implica que IBM sea responsable de corregir los problemas que puedan surgir al utilizar un juego de caracteres alternativo.

Reescritura de URL

alwaysEncodeUrl

boolean

false

La especificación Servlet 2.5 especifica no codificar el URL en una llamada response.encodeURL si no es necesario. Para dar soporte a la compatibilidad con versiones anteriores cuando la codificación de URL está habilitada, establezca esta propiedad en true para llamar al método encodeURL. El URL siempre se codifica, aunque el navegador dé soporte a cookies.

protocolSwitchRewritingEnabled

boolean

false

Añade el identificador de sesión a un URL cuando el URL necesita un cambio de HTTP a HTTPS o de HTTPS a HTTP.

rewriteId

string

jsessionid

Utilice esta propiedad para cambiar la clave utilizada con la reescritura de URL.

Seguridad

invalidateOnUnauthorizedSessionRequestException

boolean

false

Establezca esta propiedad en true si, en respuesta a una solicitud no autorizada, desea que el gestor de sesiones invalide una sesión en lugar de emitir una UnauthorizedSessionRequestException. Cuando se invalida una sesión, el solicitante puede crear una sesión nueva, pero no tiene acceso a ninguno de los datos de sesión guardados anteriormente. Esto permite a un usuario individual seguir procesando solicitudes a otras aplicaciones después de un cierre de sesión mientras se siguen protegiendo los datos de sesión.

securityIntegrationEnabled

boolean

true

Habilita la integración de seguridad, lo que hace que el recurso de gestión de sesiones asocie la identidad de los usuarios con sus sesiones HTTP.

securityUserIgnoreCase

boolean

false

Indica que la identidad de seguridad de la sesión y la identidad de seguridad del cliente deben considerarse una coincidencia, aunque las mayúsculas y minúsculas sean diferentes. Por ejemplo, cuando esta propiedad está definida en true, la identidad de seguridad de sesión USER1 coincide con las identidad de seguridad de cliente User1 y user1.