配置TOMCAT SESSIONID 字符长度和生成算法

hyadijxp

　　修改TOMCAT 默认的生成SESSION ID的算法和字符长度非常简单,只需修改context.xml中的<Manager>标签&#20540;,比如：
　　
　　<Manager
　　sessionIdLength=&quot;20&quot;
　　pathname=&quot;SESSIONS.ser&quot;
　　maxActiveSessions=&quot;8000&quot;
　　secureRandomAlgorithm=&quot;SHA1PRNG&quot;
　　secureRandomClass=&quot;java.security.SecureRandom&quot;
　　maxInactiveInterval=&quot;60&quot;
　　/>
　　标红的部分不用我说大家也应该知道了，算法除了SHA1PRNG还有好几种,具体可以查看 JDK DOC的java.security.SecureRandom类章节.
　　更多配置见：http://tomcat.apache.org/tomcat-7.0-doc/config/manager.html
　　TOMCAT默认的SESSIONID生成器在高并发下可能产生些性能损失，因为采用了较为安全的随机数来生成SESSION的ID&#20540;。
　　实际上TOMCAT生成的SESSIONID是不可能有重复&#20540;的，查看TOMCAT源码文件:ManagerBase.java中的以下代码
　　
　　/**
　　* Generate and return a new session identifier.
　　*/
　　protected String generateSessionId() {
　　String result = null;
　　do {
　　if (result != null) {
　　duplicates&#43;&#43;;
　　}
　　result = sessionIdGenerator.generateSessionId();
　　} while (sessions.containsKey(result)); //此处保证最终生成给客户端使用的SESSIONID一定是不重复的
　　return result;
　　}
　　所以，不必担心SESSIONID的安全性，如果有更好的实现，可以修改相应代码用于特定项目中。
　　
　　因此我们可以修改TOMCAT源码中的SessionIdGenerator.java生成ID的函数部分，比如采用java.util.UUID&#43;java.util.Random&#43;(随机字符串)来构建更高效的生成SESSIONID的算法，或者自己实现相关部分等等。
　　修改编译TOMCAT源码将在以后的BLOG中谈到。