(Обновление: для ясности) Начиная с логина Http get / post используйте https и используйте https в течение сеанса пользователя, вошедшего в систему.
Используйте Http, только когда нет зарегистрированныху пользователя.
Существует причина, по которой куки не позволяют пересекать границы протокола - это вектор атаки!(* см. обновление ниже)
Как сделать эту очень плохую идею
Если вы действительно настаиваете, закодируйте jsessionId в перенаправлении на URL-адрес http (или всегда кодируйтеидентификатор jsession в URL).Когда Tomcat получает перенаправление http, tomcat должен найти сеанс и продолжить.
Почему вы не должны этого делать
Серьезно, любой сайт, который смешивает https и http-контент на одной странице, просто открывает себя для всех видов веселья (иeasy) атаки.
Переход от https для обеспечения безопасности входа в систему не имеет смысла, если остальная часть сеанса находится в открытом тексте.Так чем же защищено имя пользователя / пароль (вероятно, просто пароль)?
Используя все более популярную атаку «человек посередине», злоумышленник просто копирует идентификатор сеанса и использует его для развлечения.Поскольку у большинства сайтов не истекают сеансы, которые остаются активными, MIM эффективно имеет полный доступ, как если бы у них был пароль.
Если вы считаете, что https дорогой в плане производительности, посмотрите здесь или просто поиск.Самый простой способ повысить быстродействие https до приемлемого - убедиться, что на сервере установлена поддержка активности соединения.