Tomcat 7.0.40 die gleiche Session-ID nach Ungültigkeits

Question

auf Tomcat Rückkehr habe ich die folgenden Zeilen Code

session.invalidate(); 
session = request.getSession(true); 

aber die neue Sitzung die gleiche sessionId wie der Stand der man mit, die für ungültig erklärt wurde. Was verursacht dieses Verhalten? Wie kann ich Tomcat zwingen, die Sitzung mit neuer Sitzungs-ID zu erstellen?

Nach dem Debuggen sehe ich, dass, obwohl das Session-Objekt in Anfrage referenziert Null wird, gibt es dieses requestedSessionId Attribut in Anfrage und der Container verwendet nur diese ID, um die neue Sitzung zu erstellen, wie kann ich diese Funktionalität überschreiben?

Answer 1

Dieses Problem wurde mit Tomcat Version 7.0.72 behoben. Wenn man sich das Änderungsprotokoll anschaut, gibt es eine ganze Reihe von Verbesserungen und Fehlern im Zusammenhang mit der Generierung von SessionID zwischen 7.0.40 und 7.0.72. Wahrscheinlich hat einer von ihnen das angesprochen.