Accesso HTTPS non salvando il JSESSIONID in un cookie

Question

Abbiamo recentemente modificato il nostro accesso per utilizzare HTTPS e stiamo riscontrando problemi con il login.

Dopo l'accesso, l'utente viene reindirizzato a una pagina (criptata) non crittografata. Quando raggiunge questa pagina, il sito controlla se l'utente ha effettuato l'accesso. Crea una nuova sessione e sembra che l'utente non abbia effettuato l'accesso, e quindi il nostro utente viene reindirizzato alla pagina di accesso. Se l'utente si collega nuovamente, funzionerà.

I cookie non sono impostati come solo https, ma sembra che non funzionino sulle pagine http.

Qualcuno sa perché questo potrebbe accadere.

Edit:

Avrei detto che la pagina che visualizza l'accesso è su un URL diverso. (Esiste una pagina di accesso dal computer che esegue l'istanza di tomcat, ma il sito di marketing è installato su wordpress e utilizza un dominio diverso).

Non posso utilizzare il primo metodo di richiesta HTTP per impostare il cookie, poiché le impostazioni predefinite di Internet Explorer impediscono il salvataggio del cookie di sessione.

Answer 1

Quando si utilizza https tomcat stabilisce jsessionid tramite un cookie sicuro, che non può essere trasmesso attraverso una connessione non protetta. Quindi quando torni a http la sessione è persa.

La soluzione alternativa (che non ho eseguito personalmente) sembra stabilire la sessione tramite una richiesta http prima di reindirizzare a https e quindi impostare un filtro in HttpRequestWrapper per collegarlo al cookie non protetto.

Non so molto di questo, ma qui ci sono un paio di riferimenti:

• http://forums.sun.com/thread.jspa?threadID=197150
• http://tp.its.yale.edu/pipermail/cas/2006-March/002356.html

Answer 2

Abbiamo questo problema con la nostra app. Volevamo un comportamento simile di accesso tramite https, quindi reindirizzamento a una pagina http.

Il problema è che quando Tomcat crea la sessione sotto https, crea un cookie sicuro che non può essere letto in http. Nota che questo continua a essere archiviato come un bug in Tomcat e viene contrassegnato come "non un bug".

La soluzione che abbiamo finito si basa sul messaggio in questo forum http://forum.java.sun.com/thread.jspa?threadID=197150&start=0

Citando dal thread del forum: "Un modo per mantenere la sessione in Tomcat, quando il cookie di sessione è sempre creato in modalità SSL è ingannare il browser creando il cookie non sicuro, quando viene creato il cookie sicuro. " Ciò avviene tramite un filtro che avvolge la richiesta e sovrascrive request.getSession(). Ha funzionato molto bene per noi.

Come nota a margine, il reindirizzamento da una pagina https a http farà apparire un messaggio di avviso in alcune versioni di Internet Explorer "Stai per essere reindirizzato a una connessione non protetta". L'unico modo che abbiamo trovato per evitare questo è di avere il reindirizzamento fatto con un tag meta refresh. In particolare, restituire una pagina vuota dalla richiesta https originale con un metatag che si aggiorna a una pagina http. Ciò evita il messaggio di avvertimento a spese di rendere il codice leggermente più complicato.

(Ho appena notato che alcuni dei consigli qui sono la ripetizione di una risposta precedente - Mi scuso, ma pubblicherò comunque poiché proviene da esperienza diretta).

Modifica: Vedo nei vostri commenti che avete due domini, che complicano l'uso dei cookie. È possibile utilizzare un proxy o un server Web come Apache per presentare un solo dominio agli utenti finali?

Answer 3

Se hai verificato che il flag di solo sicurezza è disattivato e che il primo cookie viene eliminato correttamente, suppongo che potrebbe esserci un problema relativo al percorso che impedisce al cookie di essere nuovamente presentato.