Можем ли мы использовать токены на предъявителя с причалом jsessionid?

Question

Я понимаю, что Jetty 9.4 SessionHandler поддерживает jsessionid либо в качестве параметра матрицы в URL, либо в виде COOKIE.

Можно ли поддерживать jsessionid в заголовках HTTP-запроса, например, в заголовке «Авторизация»?

Мне не удалось найти хорошую документацию в Jetty для переопределения поведения по умолчанию для обработки session / jsessionid

Answer 1

Идентификатор сеанса не связан с аутентификацией или авторизацией.

Идентификатор сеанса может (и изменяется) на протяжении всей жизни одного HttpSession, поэтому пытаться связать его с определенным значением, таким как токен на предъявителя, неразумно.

Наконец, клиент не определяет идентификатор сеанса, а сервер. Сервер создает / назначает / управляет им и просто сообщает клиенту, что это такое.