HttpSession ID有多独特？

Question

7

我将通过在用户的cookie中存储唯一ID来唯一标识用户。根据我的谷歌搜索，HttpSession ID 是一个不错的选择。只是想知道它有多独特？它是否仅对Web容器唯一？过期后，会重新生成吗？如果重复了，我的所有用户登录都可能失败。需要一些专家意见，关于使用sessionID作为用户唯一标识符。

- Tito

看起来可以说这会因您使用的Servlet容器而有所不同；这样我认为可以支持这个想法，即您也可以轻松地使用自己的“唯一ID生成器”。 - matt b

2个回答

2

会话ID必须在服务器或服务器集群上唯一标识会话。您不能保证在重新启动时唯一性。为什么不直接使用数据库序列或UUID？

- JB Nizet

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- Matt Ball · Accepted Answer

会话 ID 仅在会话生命周期内是唯一且有意义的。会话 ID 仅用于标识会话，不能用于标识用户。

不应该依赖和期望会话 ID 被重复使用，更不能指望它们能为同一用户服务。