Перенаправление в другое веб-приложение предоставляет значения, хранящиеся в сеансе

Question

У меня есть веб-приложение, работающее на сервере JBoss на основе инфраструктуры JSF.Мне нужно перенаправить мой запрос в совершенно новое веб-приложение, работающее на другом сервере и на другом компьютере, географически расположенном.

Я сомневаюсь, что если я перенаправлю запрос со своей веб-страницы на другую веб-страницу,это выставляет параметр сеанса на другом конце.У меня есть очень важная информация, хранящаяся в сеансе, и я не могу позволить себе раскрыть детали другому веб-приложению.

Наряду с запросом на перенаправление я бы отправил некоторые параметры в удаленное веб-приложение, которое будетпараметры для определенных математических вычислений.

Кто-нибудь может мне помочь в этом?

Answer 1

Возможно ли другое веб-приложение увидеть, что присутствует в сеансе

Нет. Это было бы огромной дырой в безопасности в современной всемирной паутине. Подумайте еще раз, можете ли вы увидеть, что, например, google.com и stackoverflow.com имеют в своей сессии? Нет? Тогда другое веб-приложение определенно тоже не может. Все, что веб-приложение может видеть снаружи, является единственным входящим HTTP-запросом в полном объеме.

Эта проблема / вопрос не имеет ничего общего с JSF.

Answer 2

Если вы аннулируете сеанс перед перенаправлением, то не имеет значения, видит ли внешнее веб-приложение ваш сеансовый файл cookie.Они не могли развернуться и эмулировать запросы вашего сеанса в любом случае, потому что сеанс больше не действителен.

request.getSession().invalidate();

Я не думаю, что это будет проблемой, потому что я сомневаюсь, что заголовок запроса для другоговеб-приложение будет включать тот же сеансовый cookie.