Продукт, над которым я работаю, прошел строгий аудит безопасности со стороны потенциального клиента, и они недовольны тем, что Tomcat устанавливает cookie JSESSIONID до того, как произошла аутентификация. То есть Tomcat устанавливает этот файл cookie при загрузке нашей страницы входа без сохранения состояния, но до входа в систему.
Они предлагают одно из следующих действий:
I просматривали все, что связано с JSESSIONID на этом сайте, и не смогли найти простого ответа. Я просто надеюсь на идеи. Мои лучшие решения для каждого из них:
Мне нужно немного поспать, но я попытаюсь сделать это утром.Было бы здорово получить отзывы или лучшие предложения от людей, которые намного умнее меня - таких, как вы!
Тем не менее, я опубликую здесь свои результаты, потому что похоже, что многие другие люди хотели сделать что-то подобное.