HttpServletRequestgetSession(boolean) método menciona la integridad de la sesión. ¿Cómo conserva Tomcat la integridad de la sesión? ¿Qué reglas usa? ¿Qué método? ¿Qué está pasando bajo el capó precisamente?¿Cómo mantiene Tomcat la integridad de la sesión?
EDITAR
¿Cómo y cuando se crea un identificador de sesión específica? ¿Tomcat confía en la dirección IP y el puerto, por ejemplo?
En Tomcat, el método ManagerBase.generateSessionId() es responsable de la generación de id. De sesión. Me parece que las identificaciones de sesión se generan en función de números aleatorios. Puede almacenar la dirección IP del cliente en la sesión y verificarla en su aplicación web, pero hasta donde yo sé, Tomcat no hace eso.
Acerca de la integridad de la sesión: ¿podría definirla, por favor? Hay un párrafo al respecto en el Java Servlet Specification, Version 3.0 pero no es demasiado:
7.1.4 Sesión Integridad
contenedores Web deben ser capaces de soportar la sesión HTTP, mientras que las peticiones HTTP de servicio de los clientes que no admite el uso de cookies Para cumplir este requisito, los contenedores web suelen admitir el mecanismo de reescritura URL .
Este blog proporciona algunos detalles sobre el seguimiento de sesión con cookies con Tomcat.
Todo el asunto es que este concepto no está definido claramente ... – JVerstry
Vale la pena otra pregunta: http://stackoverflow.com/questions/7583752/is-there-a-formal-definition-of-session- integrity-about-servlets – JVerstry
Parece que la integridad de la sesión == sesión de seguimiento de la respuesta en la otra pregunta. – JVerstry