默认情况下,Tomcat5 下发布的web应用程序,如果涉及session的操作,在Tomcat5关闭或undeploy的时候,将会在 work 目录下相应的路径下创建 SESSION.ser 文件存储该webapp的 session 数据。在 session 超时时间内 Tomcat 重启或re-deploy,将会加载该文件中的数据,恢复用户原来的 session 运行环境。
在一些安全敏感的应用中,这可能会带来 一些隐患。Tomcat 发行版本的 server.xml 里并没有一个直接的选项来禁止保留session 数据。但根据 Tomcat5 配置参考文档中的说明,Tomcat 还提供了另一种的 session 管理机制。
该如何配置呢?
创建一个与 webapps 同名的 xml 文件,比如 webapp 的 Context Path 为 test, 那么文件名即为 test.xml。文件内容如下:
`
<Manager className="org.apache.catalina.session.PersistentManager" saveOnRestart="false">
<Store className="org.apache.catalina.session.FileStore" />
</Manager>
`
很 明显,saveOnRestart 参数值为false即不保留session。该 Manager 还有很多属性,具体参见文档。注意,虽然是不保存文件,但子元素 必不可少。
将文件放 到 Tomcat5安装目录/conf/Catalina/localhost/ 路径下,重启后生效。
如果 Tomcat5 是集成于 Jboss 中(Jboss3.2.5+ 集成Tomcat5.0.x) ,那么配置稍有不同,将 test.xml 更名为context.xml,放置到 webapp 的 WEB-INF 目录下即可。
Tomcat 5 以下的版本,就我所知,Tomcat 4.1.x 与 Tomcat5 配置类似,具体请参考相关版本的文档。
版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。