类型:转载 责任编辑:asp.net 日期:2007/05/23
热门软件下载:
页面导航:
正文内容: 默认情况下,tomcat5 下发布的web应用程序,如果涉及session的操作,在tomcat5关闭或undeploy的时候,将会在 work 目录下相应的路径下创建 session.ser 文件存储该webapp的 session 数据。在 session 超时时间内 tomcat 重启或re-deploy,将会加载该文件中的数据,恢复用户原来的 session 运行环境。
在一些安全敏感的应用中,这可能会带来一些隐患。tomcat 发行版本的 server.xml 里并没有一个直接的选项来禁止保留session 数据。但根据 tomcat5配置参考文档 中的说明,tomcat 还提供了另一种的 session 管理机制。具体配置选项请参考该文档。具体操作如下:
创建一个与 webapps 同名的 xml 文件,比如 webapp 的 context path 为 test, 那么文件名即为 test.xml。文件内容如下:
<context path="/test" docbase="test" debug="0" privileged="true">
<manager classname="org.apache.catalina.session.persistentmanager" saveonrestart="false">
<store classname="org.apache.catalina.session.filestore" />
</manager>
</context>
很明显,saveonrestart 参数值为false即不保留session。该 manager 还有很多属性,具体参见文档。注意,虽然是不保存文件,但子元素<store> 必不可少。
将文件放到 tomcat5安装目录/conf/catalina/localhost/ 路径下,重启后生效。
如果 tomcat5 是集成于 jboss 中(jboss3.2.5+ 集成tomcat5.0.x) ,那么配置稍有不同,将 test.xml 更名为context.xml,放置到 webapp 的 web-inf 目录下即可。
tomcat 5 以下的版本,就我所知,tomcat 4.1.x 与 tomcat5 配置类似,具体请参考相关版本的文档。