Wenn nicht anders konfiguriert, zerstören die meisten Server alle JSessionIDs, die nicht erkannt werden, und geben eine neue aus. Dies verhindert Session Fixation-Angriffe. Java Servlet Engines wie Tomcat und Jetty tun dies ebenso wie verschiedene j2EE Application Server wie WildFly (UnderTow) und WebLogic.
Wenn Sie eine Sitzungsmigration zwischen Serverknoten durchführen möchten, müssen Sie Ihren Server dafür konfigurieren. Servlet-Engines und Anwendungsserver tun dies nicht automatisch. Sie müssen in Ihren Weblogic-Dokumenten nach Ihrer Version Ihres Anwendungsservers suchen, um zu ermitteln, wie Sie vorgehen müssen.
Ich werde Ihnen sagen, dass Wildfly und Tomcat definitiv erfordern Multicast-IP, um diese Arbeit zu machen. Abhängig von Ihrer Umgebung ist es möglich, dass Multicast-IP von Firewalls blockiert wird. Außerdem weiß ich zum Zeitpunkt des Schreibens, dass Docker-Container die Multicast-IP nicht standardmäßig unterstützen, so dass Sie bei der Verwendung von Docker-Containern eine Art Workaround benötigen.
Die wichtige Sache ist, dass Sie verstehen, warum die Sitzung nicht automatisch migriert wird und dass Sie Ihren Server dafür konfigurieren müssen. Wenn Weblogic Multicast-IP verwendet, könnte dies eine weitere Hürde sein, die es zu überwinden gilt.
Ich hoffe, das hilft. Dies ist so spezifisch wie ich sein kann, da ich kein Weblogic-Entwickler bin.
Ich denke, Sie versuchen zu verhindern, dass Hacker eine gestohlene SessionID verwenden, um in Ihre Web App zu gelangen. Sie können versuchen, Benutzer anhand ihrer IP-Adresse oder eines anderen Parameters zu identifizieren. Wenn ein Benutzer dieselbe Sitzungs-ID, aber eine andere IP-Adresse verwendet, können Sie die Sitzung zerstören. Natürlich ist es nicht 100% narrensicher – Bassam