Tomcat如何禁用session

最新推荐文章于 2024-06-06 23:40:01 发布
最新推荐文章于 2024-06-06 23:40:01 发布
阅读量1k 收藏 3
点赞数 1
分类专栏: 技术记录 文章标签: java tomcat jsp servlet session
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/f365420465/article/details/107860853
版权

有时候我们不需要用到session,而session在tomcat中是属于关键功能,它在启动的时候会自动创建,这样就会消耗一定的内存空间,如果访问量大了session就会产生很多。这样也不利于我们进行分布扩展。
 

JSESSIONID的产生机制

tomcat只有在程序中使用了 xxx.getSession() 的时候才会创建session(JSESSIONID是它的标识),其他任何时候都不会主动去创建。

这个时候有人问了,我的程序里明确没有调用 xxx.getSession(),为什么还会创建session?原因是用到了jsp作为渲染机制,你去看一下在tomcat的工作目录中所对应的jsp编译好的.class或者也有.java文件,能够看到:session = pageContext.getSession();这样一段代码。这个session也就是jsp几个内置对象中含有session对象的来源。所以,只要你用到了 jsp,那么就会默认产生session。 

那不用jsp,而用 servlet 的话,会不会主动创建 session 呢?不会的,因为对于Controller或者Action来说,本质上还是servlet。不会的,除非你自己写 xxx.getSession()。

那我也不用jsp,用其他的模板引擎,比如 freemarker 或者 Thymeleaf,会不会主动创建 session 呢?不会的,除非这个模板引擎中也主动调用xxx.getSession,否则不会。

那我既不用jsp,也不用servlet,用的是 spring的Controller或者 struts 的Action,那会不会主动创建 session 呢?不会的,因为对于Controller或者Action来说,本质上还是servlet。

解决办法

通过上面的机制分析,很明显禁用tomcat的session的最好途径就是告诉jsp,不要主动创建session,那么方式是在每个jsp页面中加入:

<%@ page session="false" %>

这种方式需要在每一个jsp页面加入以上代码,或者引用共同的jsp。如果某一个页面忘记引用或者是JAVA部分代码主动的去获取了xxx.getSession(),那么还是会产生session。

所以本人倾向于第二种方式,在tomcat中停止创建session,自定义一个SessionManager

package com.noSession;

import java.io.IOException;
import org.apache.catalina.Lifecycle;
import org.apache.catalina.LifecycleException;
import org.apache.catalina.LifecycleState;
import org.apache.catalina.Session;
import org.apache.catalina.session.ManagerBase;

public class SessionManager extends ManagerBase implements Lifecycle {

	@Override
	protected synchronized void startInternal() throws LifecycleException {

		super.startInternal();
		setState(LifecycleState.STARTING);
	}

	@Override
	protected synchronized void stopInternal() throws LifecycleException {

		setState(LifecycleState.STOPPING);
	}

	@Override
	public void load() throws ClassNotFoundException, IOException {
	}

	@Override
	public void unload() throws IOException {
	}

	@Override
	public Session createSession(String sessionId) {

		return null;
	}

	@Override
	public Session createEmptySession() {

		return null;
	}

}

注意,上面这个SessionManager中createSession、createEmptySession方法返回的是null。

在使用jsp的时候会报错Page needs a session and none is available。

有一下两种解决方案:

1.在jsp中加上

<%@ page session="false" %>

2.全局使用同一个session

import java.io.IOException;

import org.apache.catalina.Lifecycle;
import org.apache.catalina.LifecycleException;
import org.apache.catalina.LifecycleState;
import org.apache.catalina.Session;
import org.apache.catalina.session.ManagerBase;

public class SessionManager extends ManagerBase implements Lifecycle {

    private Session globalSession;

    @Override
    protected synchronized void startInternal() throws LifecycleException {
        super.startInternal();
        setState(LifecycleState.STARTING);
    }

    @Override
    protected synchronized void stopInternal() throws LifecycleException {
        setState(LifecycleState.STOPPING);
    }

    @Override
    public void load() throws ClassNotFoundException, IOException {
    }

    @Override
    public void unload() throws IOException {
    }

    @Override
    public Session createSession(String sessionId) {
        if(globalSession == null) {
            globalSession = super.createSession(sessionId);
        } else {
            globalSession.setValid(true);
        }

        return globalSession;
    }

    @Override
    public Session createEmptySession() {
        if(globalSession == null) {
            globalSession = super.createSession(sessionId);
        } else {
            globalSession.setValid(true);
        }

        return globalSession;
    }

}

还需要注意这个globalSession需要进行激活,否则在tomcat的session失效后,会将此session标注为失效,那么尽管globalSession还是存在的,但是是失效的状态,还是会报错说session不存在。所以globalSession.setValid(true);这句很重要。

然后,在tomcat的server.xml中进行设置,或者配置host的其他方式

<Context docBase="D:\test" path="/test" reloadable="false" sessionCookieName="yoursessionname">
    <Manager className="xxx.xxx.SessionManager" />
</Context>

上面的sessionCookieName默认是JSESSIONID,其实这个是有点点缺陷的,能够让别人知道你的应用是用java开发的,所以,换个其他的名字会更好一些。

最后,将SessionManager打包为jar包,放到tomcat的lib文件夹下面

 

 

 

我想有个名
关注
  • 1
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Tomcatsession的管理机制
09-01
- **URL解析**:当cookie被禁用时,sessionId可能会被编码到URL中。`parsePathParameters`方法负责从URL路径参数中解析sessionId。 - **Cookie解析**:如果sessionId存在于cookie中,`parseSessionCookiesId`方法...
关于Tomcat如何禁用Session 的探讨
Albert
07-04 1452
关于Tomcat如何禁用Session 的探讨                                                                                     ——我一直不太信任自己的记忆力,所以我把它们都写下来 1.Web项目Session什么时候生成     需要明确一点,访问html文件的时候是不会生成Session的,Ses...
Tomcat禁用Session
沧海桑田的博客
09-14 4021
1.禁用session的必要性 I.请求和响应过程中session对象相关操作 Tomcat在首次接收客户端请求时会自动在JVM中创建session对象 session的主要作用是标记和保持会话,每个session有唯一的32位16进制大写字符串格式的sessionId,Tomcat使用Map对象存储每一个session对象,其key正是sessionId 在响应到客户端的信息中,tomcat...
怎样让tomcat不自动生成JSESSIONID
密斯特大白
09-16 5247
最近玩jsptomcat作为服务器,结果每次tomcat都 在cookie里自动创建了sessionid ,那么怎么才能让tomcat不自动创建sessionid,让cookie更加简洁呢?其实方法很简单,只要在第一次访问jsp的页面上加上这么一句  ,就行了。下面给出例子: info.jsp:  Cookie nc = new Cookie("info","ok"
springboot2禁用自带tomcatsession功能
songxiuliang的专栏
09-11 2971
微服务下的各个服务都是无状态的,所以这个时候tomcatsession管理功能是多余的,即时不用,也会消耗性能,关闭后tomcat的性能会有提升,但是springboot提供的tomcat没有配置选项可以直接关闭,研究了一下,tomcat默认的session管理器名字叫:StandardManager,查看tomcat加载源码发现,如果context中没有Manager的时候,直接newStandardManager(),源码片段如下: // Acquire clustered manager .
springboot禁用Tomcatsession功能
Tang_IT的博客
12-10 1930
第一步: 自定义session管理器 package com.zhuang.config; import org.apache.catalina.Lifecycle; import org.apache.catalina.LifecycleException; import org.apache.catalina.LifecycleState; import org.apache.catalina.Session; import org.apache.catalina.session.ManagerB
tomcat为什么要禁用session
若鱼的专栏
08-21 5399
我们先来做一个实验,用jmeter对tomcat下的一个jsp页面做压测: (1)jsp的内容非常简单,1.jsp: 1.jsp this is 1.jsp 没有任何复杂的处理,只是一个非常简单的jsp页面。我们知道,tomcat默认会给每一个jsp都启用session的。 (2)我们给tomcat设置启动参数,修改catalina.bat,添加: set JAVA_
tomcat 基于redis session 共享 教程.docx
04-01
### Tomcat基于Redis Session共享教程 #### 一、前言 在分布式系统中,随着业务规模的扩大,单个服务器往往难以满足日益增长的服务需求。为了提高系统的可用性和扩展性,通常会采用多个Tomcat服务器构成集群的方式...
session-GitHub.rar
09-29
2. **配置Tomcat**:在Tomcat服务器上,需要禁用默认的session管理,并配置session存储为使用redis。这通常通过修改`context.xml`文件实现,添加相应的session-store-datas节。 3. **设置Redis**:部署并配置redis...
Tomcat SSL解决方案
03-29
10. **优化性能**:为了提高SSL性能,可以启用SSL硬件加速(如果硬件支持),使用更高效的密码套件,以及配置正确的Session缓存。 以上就是关于Tomcat SSL配置的主要知识点,确保了Web应用程序在传输敏感数据时的...
tomcat集群与会话共享
11-01
- 必须禁用每个Tomcat实例的session管理,以免每个实例都创建自己的session。 - 使用相同的session ID生成策略以确保一致性。 - 考虑到性能和扩展性,应优化会话复制的频率和粒度。 总之,Tomcat集群和会话共享是...
java shiro jwt,Shiro禁用Session,使用SSM+JWT+Shiro进行无状态RESTful API
weixin_35432846的博客
03-13 860
应用场景:由于项目后端管理系统不只是一个服务,而且不只在Web端运行,还会在移动端App使用,想要使用JWT方式进行无状态的RESTful API交互,也就是登录后生成token并返回给前端,前端每次请求时都在请求头里面添加token,后端验证有效性。所以Shiro自带的Session禁用掉,同时要重新写JWT的过滤器。使用shiro+ssm+jwt的一些前期准备:禁用sessionJWT实现工...
深入剖析Tomcat(九) Session的实现原理
最新发布
咖啡煮码
06-06 943
Tomcatsession的实现原理
Tomcat7 session 持久化关闭
m0_67391270的博客
04-27 954
Tomcat7 session 持久化关闭 tomcat 7默认开启session持久化功能,这样当你的tomcat重启之后,会自动重新加载session,这样当tomcat重启了保存在session里面的信息也不会丢失,但是有时候我们并不需要这个功能。 所以我们就有了关闭session持久化的需求。 不过这个持久化在使用eclipse加载tomcat的时候是没有效果的,但是部署在服务器就产生效果了,也不知道是为啥。 打开tomcat目录>conf>context.xml,这是所有web应用共享
访问页面,报page need a session and none is available
limuyuan52511的博客
02-21 144
页面报错page need a session and none is available
Page needs a session and none is available] with root cause
lovfyna的博客
12-23 1825
异常: 当访问web项目时,控制台输出Page needs a session and none is available] with root cause相关异常 原因: %tomcat_home%\work\Catalina\localhost\项目——这个文件夹下缺少SESSIONS.ser这个文件 解决办法: 删除%tomcat_home%\work\Catali
【漏洞预警】Apache Tomcat Session 反序列化代码执行漏洞修复方案
讯开技术孵化器博客
05-21 7388
Tomcat Session 漏洞漏洞描述影响版本安全版本安全建议操作步骤下载你要升级的Tomcat 10.0.0-M5版本:备份旧的tomcat(这部分非必须,根据自己情况而定)开始安装新版本禁止使用Session持久化功能FileStore取消Tomcat Session持久化功能 漏洞描述 Apache Tomcat是由Apache软件基金会属下Jakarta项目开发的Servlet容器。攻击者可能可以构造恶意请求,造成反序列化代码执行漏洞。成功利用该漏洞需要同时满足下列四个条件: 攻击者能够控制服
一、去除TomcatSession持久化
papacs的专栏
03-13 1685
一、去除TomcatSession持久化 在默认的情况下,Tomcat 6.0的Session是持久化,请查看$TOMCAT_HOME$/conf/context.xml。在大概24行,去掉注释后不进行Session持久化:   -->   这样可以解决TOMCAT关闭后,再重启,SESSION还存在的情况
Tomcat Session(CVE-2020-9484)反序列化漏洞复现
m0_67401545的博客
08-25 1496
北京时间2020年05月20日,Apache官方发布了 Apache Tomcat 远程代码执行 的风险通告,该漏洞编号为 CVE-2020-9484。Apache Tomcat 是一个开放源代码、运行servletJSP Web应用软件的基于Java的Web应用软件容器。当Tomcat使用了自带session同步功能时,使用不安全的配置(没有使用EncryptInterceptor)会存在反序列化漏洞,攻击者通过精心构造的数据包, 可以对使用了自带session同步功能的Tomcat服务器进行攻击。
tomcatsession的关系
07-20
TomcatSession之间有密切的关系。在Java Web应用中,Session是用于在客户端和服务器之间维持状态的机制。Tomcat作为Web容器,负责处理客户端与服务器之间的请求和响应,同时也管理着Session。 当用户访问Web应用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值