JSessionIdは本当にユニークですか？

Question

いくつかのコンテキストを置くために、私はサイト（Anonユーザーも）でユーザーアクションを追跡するためのAPIを開発しています。これまでのところ、JSessionIDを使用して、各ユーザーと彼のアクションを識別します。

そのAPIは、現在TomcatとJbossで実行されています。

本当に問題の質問は、すべてのデータを1日1回分析するため、一日中保証されているこのjsessionidの独自性が何らかの形であるということです。または、同時に、他のユーザーが以前に他のユーザーが以前に使用したのと同じjSessionIDを取得できますか？

前もって感謝します。

Answer 1

申し訳ありませんが、指定されていません。その時点では、そのJVMにとってのみユニークである必要があります。つまり、セッションIDは、他の誰もセッションを整備していない限り、1日に複数回再利用できます。私は、ほとんどの実際の実装がより強力な保証を提供するかもしれないことに同意しますが、あなたはそれを期待できるとは思いません。

を見てみましょう このメーリングリスト - その中で、人々はTomcatと樹脂の両方でセッションIDの再利用について話し合います。

したがって、基本的にセッションIDが一意であるという仮定は、セッションが破壊されるまでのみ真実です。