转自:http://ribbonchen.blog.163.com/blog/static/1183165052011074500877/
之前配置了weblogic通过代理插件weblogic.servlet.proxy.HttpProxyServlet进行代理转发,实际部署发现代理服务器把第一次请求转发后,服务器端的session丢失,第二次转发请求时重新开始了新的session,导致用户登出无法继续进行操作。
参照了网上的一些资料,开始时我认为是http header中p3p设置的问题,具体参见
http://www.neatstudio.com/show-1390-1.shtml
鼓捣后发现不行,于是另找出路。
重新温习了一遍cookie和session的相关基础知识,原来session在服务器端生成后分配的sessionID在客户端的保存方式是个cookie,它的生命周期在浏览器关闭后就会结束,而这个cookie的名字如果不特别设置,weblogic会以默认的名称“JSESSIONID”来设置这个cookie的名称,我两个应用的的session cookie名字都没有设置,客户端在第一次通过应用A请求代理转发到应用B时,应用B返回的同名session cookie覆盖了客户端原本的应用A的session cookie,所以导致了应用A session的丢失。
解决方法是,在应用B的weblogic.xml中的session descriptor标记中添加session cookie的名称设置,使其区别于A应用的session cookie名称,如:
<?xml version="1.0"?>
<weblogic-web-app xmlns="http://www.bea.com/ns/weblogic/90"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<session-descriptor>
<cookie-name>MYSESSION</cookie-name>
</session-descriptor>
</weblogic-web-app>
回过头来看,发现之前鼓捣的http header p3p其实是在已经设好了session cookie的名称的前提下,解决在iframe中进行跨域访问时session丢失的问题。
另外,还有一些资料是说可以设置weblogic的session复制,如在weblogic.xml中:
<session-descriptor>
<session-param>
<param-name>PersistentStoreType</param-name>
<param-value>replicated</param-value>
</session-param>
</session-descriptor>
其实这是在weblogic集群环境中才能起作用,对代理插件weblogic.servlet.proxy.HttpProxyServlet不起作用。