我正在尝试关闭SSL连接,以防有人想要使用另一个证书作为使用client-cert作为身份验证方法的网页。 我知道如何关闭一个会议,坦克。什么我不知道,如何使SSLSession无效。 显然有一个,我可以通过request.getAttribute获取它的id(“javax.servlet.request.ssl_session”) 并且显然还不足以做session.invalidate(),为什么?因为我在logout.jsp中有它 重定向到我的index.jsp。现在,如果SSL连接失效,我应该 通过我的logout.jsp后,要求从我的浏览器证书中选择一个证书,我不是 我还在登录,我甚至在我的注销jsp中有一个request.setHeader(“connection”,“close”), 也没有帮助(我已经读过标题可能更多地被解释为浏览器的指南) 并不一定关闭所有连接)。 在tomcat7中有可能使用SSLSessionManager来使SSLSession无效,所以我在猜测,tomcat6也可能有类似的东西。
所以整个工作流程将是
=>这里缺少一些使SSLSession无效的
任何真正感激的帮助
答案 0 :(得分:1)
您必须掌握Tomcat用于创建SSLContext的{{1}}。从那里你可以去
SSLServerSocket但我不认为这是可行的:至少我不知道你是如何从Tomcat获得byte[] sessionID = (byte[])request.getAttribute("javax.servlet.request.ssl_session");
SSLSession session = sslContext.getServerSessionContext().getSession(sessionID);
session.invalidate();
的。