在 J2EE 中,對於https和http的不同請求,Web容器會生成兩個不同的session對象;因此,如果在同一個Web應用中只有部分頁面使用SSL,要保證使用SSL的頁面與不使用SSL的頁面間的相互切換(也就是https請求與http請求間的切換)會話保持連續,那麼可以通過在訪問的URL中傳遞sessionId來實現,也就是說在進入或退出https的URL上綁定一個sessionId,比如從http切換到https時,URL為:https://xxx/login.do;jsessionid=<%=session.getId()%>,從https切換到http時為:http://xxx/xxx.do;jsessionid=<%=session.getId()%>。這樣Web容器會優先根據這個sessionid獲取session對象,而不是生成新的sessionid,就可以保證http和https切換時會話不變(該方法在Tomcat上驗證過)。
由於在URL上綁定的sessionid容易被竊取,為了保證會話不被劫取,會話認證時需要結合客戶端IP,也就是當用戶登錄成功後,通過session.setAttribute("clientIp",request.getRemoteAddr())保存客戶端的IP地址,在後繼認證會話的合法性時必須判斷客戶端的IP是否是原先存儲在session對象的clientIP屬性的客戶端IP,如果不是則該會話是非法會話。
http直接跳轉為https,重定向一下就可以了。用php就更簡單了:
<?php
header("Location:https://www.bkjia.com");
?>
當訪問 http 時,跳 https:
<?php
//http轉化為https
if ($_SERVER["HTTPS"] <> "on")
{
$xredir="https://".$_SERVER["SERVER_NAME"].$_SERVER["REQUEST_URI"];
header("Location: ".$xredir);
}
?>
當訪問 https 時,跳 http:
<?php
//https轉化為http
if ($_SERVER["HTTPS"] == "on")
{
$xredir="http://".$_SERVER["SERVER_NAME"]. $_SERVER["REQUEST_URI"];
header("Location: ".$xredir);
}
?>
在網頁開頭包含上面代碼即可。
