我们可以使用带有 jetty jsessionid 的不记名令牌吗?
Can we use bearer tokens with jetty jsessionid?
我知道 jetty 9.4 SessionHandler 支持 jsessionid 作为 url 中的矩阵参数或作为 COOKIE。
是否可以在 http 请求 header 中支持 jsessionid,例如 "Authorization" header?
我在 jetty 中找不到好的文档来覆盖默认行为来处理 session/jsessionid
会话 ID 与身份验证或授权无关。
会话 ID 可以(并且确实)在单个 HttpSession 的整个生命周期内发生变化,试图将其绑定到特定值(如不记名令牌)是不明智的。
最后,客户端不会确定会话 ID,服务器会确定。服务器创建/分配/管理它,只是让客户端知道它是什么。
我知道 jetty 9.4 SessionHandler 支持 jsessionid 作为 url 中的矩阵参数或作为 COOKIE。
是否可以在 http 请求 header 中支持 jsessionid,例如 "Authorization" header?
我在 jetty 中找不到好的文档来覆盖默认行为来处理 session/jsessionid
会话 ID 与身份验证或授权无关。
会话 ID 可以(并且确实)在单个 HttpSession 的整个生命周期内发生变化,试图将其绑定到特定值(如不记名令牌)是不明智的。
最后,客户端不会确定会话 ID,服务器会确定。服务器创建/分配/管理它,只是让客户端知道它是什么。