是否可以在同一个 HTTP 会话中有多个用户

Question

这不是严格意义上的 GWT 问题，但由于我提出这个问题的背景是 GWT。我包含了 GWT 和 servlet 标签。

由于多个请求可以属于同一个会话，并且每个请求都有一个与之关联的远程用户（空或非空），这让我想知道会话中是否可以有不同的用户。

假设一个用户使用不同的帐户登录、注销和重新登录，我们在服务器端是否仍处于同一会话中？

编辑以解决 BalusC 的回答提出的歧义： - 我不是要“同时”拥有多个用户。问题是是否有可能让多个用户进入同一个会话。

Answer 1

你的问题比较模糊。

---

同一个 HTTP 会话中是否可以有多个用户

这取决于你如何定义“用户”。

如果是登录用户（通常存储在/与 HTTP 会话相关联），那么这是不可能的。同一时间只能有一个。

但是，如果是客户端，那么绝对有可能让多个客户端共享同一个会话（并且本质上也是完全相同的登录用户）。这可以通过session fixation attack 实现，这可以在cross site scripting 的帮助下执行。基本上，当多个客户端使用完全相同的JSESSIONID cookie 时。

---

假设用户使用不同的帐户登录、注销和重新登录，我们是否仍处于服务器端的同一会话中？

这本质上是一个与标题中提出的问题不同的问题。当考虑“同时”时，这里严格没有“同一会话中的多个用户”的意思。

无论如何，当注销不会使会话无效时，这违反了“惯例”，那么这确实是很有可能的。

---

另见：

• How do servlets work? Instantiation, sessions, shared variables and multithreading
• How to effectively destroy 'session' in Java Servlet?