同一 tomcat 不同项目 session 共享实现

最新推荐文章于 2024-05-03 17:09:10 发布
最新推荐文章于 2024-05-03 17:09:10 发布
阅读量3.2k 收藏
点赞数
文章标签: tomcat java servlet
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43078114/article/details/131331142
版权
说明

这里仅讨论 同一个tomcat,部署了两个工程(两个war包)。不涉及不同tomcat,不涉及集群

背景

tomcat中的工程A包含用户登录、退出、权限控制等功能;工程B包含业务功能接口。工程A将用户登录信息加密响应给前端,前端在请求工程B时将用户加密信息放入请求header,工程B解密获得用户信息。
这种方式在安全扫描中提示存在垂直越权问题。即低权限的用户如果拿到高权限用户的加密信息,就可以拿到高权限用户的数据

修复:

将用户信息存在session中

步骤1

服务器tomcat安装目录,conf文件夹下,sever.xml 文件标签新增配置

    <Host name="localhost"  appBase="webapps"  unpackWARs="true" autoDeploy="true">
              
                <Context path="/biz-m-rest" reloadable="true"  crossContext="true" sessionCookiePath="/" />

                <Context path="/mams-rest" reloadable="true" crossContext="true" sessionCookiePath="/" />

      </Host>

开启biz-m-rest、mams-rest服务session共享,sessionCookiePath=“/” 配置很重要,没有该配置 两个工程中打印的sessionId 不同

步骤2

工程A登录接口封装方法,将用户信息存入session中,sessionId 为key
网上很多博客用固定的key(session字符串),固定key虽然实现session共享,但是没有解决安全问题。本方法使用动态 sessionId 作为key

/*
*regUser参数为用户登录后,查询数据库封装的当前用户信息
*/
private void setUserInfoSissioin(SysRegisterUser regUser,HttpServletRequest request){
		HttpSession httpSession = request.getSession();
		String sessionId = httpSession.getId();
		logger.info("当前session id是=============:"+sessionId);
		Object jsonRegUser = JSON.toJSON(regUser);
		httpSession.setAttribute("user",jsonRegUser);
		ServletContext context = httpSession.getServletContext();
		context.setAttribute(sessionId, httpSession);
	}

步骤3

工程B中通过sessionId 获得用户信息

/*
	 *通过session 中保存的用户信息,和crctoken中解密的用户id 比较,相同返回true;否则返回false
	 *
	 */
	public Boolean isLoginUser(HttpServletRequest httpServletRequest){
		Boolean bool = false;
		String crcTokenUserId = getLoginUserId(); //cookie中解密的用户id(不安全)
		try {
			HttpServletRequest request = getRequest();
			String sessionId = request.getSession().getId();
			LOGGER.info("====biz_service session=====================start==="+sessionId);
			ServletContext Context = request.getServletContext();
			ServletContext Context1= Context.getContext("/mams-rest");  //共享session,和tomcat sever.xml 中配置一致

			if(Context1 !=null && !Context1.equals("")){
				HttpSession sess=(HttpSession)Context1.getAttribute(sessionId);
				if(sess.getAttribute("user")!=null){
					JSONObject jsonObject = new JSONObject().parseObject(sess.getAttribute("user").toString());
					String sessionUserId = jsonObject.getString("userId");  //session 中保存的用户id
					LOGGER.info("tomcat 共享session 测试=====================start====sessionUserId=002==="+sessionUserId);
					if(StringUtils.isNotBlank(sessionUserId)&&StringUtils.isNotBlank(crcTokenUserId)&&crcTokenUserId.equals(sessionUserId)){
						bool = true;
					}
				}
			}

		}catch (Exception e){
			//报错说明用户还没登录,拿不到session信息
			LOGGER.error("=============请先登录==========");
			e.printStackTrace();
		}

		return bool;
	}

测试:
工程A打印的sessionId
在这里插入图片描述
工程B打印的sessionId
在这里插入图片描述

动态获取工程A和工程B的sessionId,id相同,工程B才可以正确获取工程A中存的用户信息
保证工程A和工程B 有相同的sessionId 依赖 tomcat sever.xml中的配置
deelless
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
tomcat8集群实现session共享,内含session共享
04-17
完整tomcat8内含session共享包,亲自测试可以使用,有问题可以私聊。
tomcat 实现session共享
小猿爱敲代码
02-22 1191
tomcat session 共享
tomcattomcat2 session复制及session共享技术(普通+redis)
最新发布
weixin_50382197的博客
05-03 581
为什么要做session复制或共享实现Session复制或Session共享的目的是为了在多个Tomcat实例之间实现Session的无缝转移和共享,以提供更高的可伸缩性、负载均衡和容错性。
tomcatsession共享
weixin_39833509的博客
06-19 3261
  可通过下面方法限制一个用户访问一个服务器之后就只在该服务器上操作。   请求负载过程中会话信息不能丢失。那么在多个tomcatsession需要共享。 配置tomcatsession共享可以有三种解决方案: 第一种是以负载均衡服务器本身提供的session共享策略,每种服务器的配置是不一样的,并且nginx本身是没有的。这里不做探究。 第二种是利用web容器本身的session共享策略来配置共享。   针对于weblogic这种方式还是靠谱的。但是针对于tomcat这种方式存在很大的缺
tomcat配置session共享
金发只是水一下的博客
08-31 3565
tomcat官网 打开 tomcat 官网: http://tomcat.apache.org/ , 找到需要配置的tomcat版本的文档,这里以 tomcat7 为例, 找到对应的 Clustering 配置(因为配置session共享,就是配置集群),如下图 即,配置tomcat7集群的文档地址: http://tomcat.apache.org/tomcat-7.0-doc/cluste...
如何在Tomcat中配置和使用Session共享
乔木的博客
02-21 1694
当用户首次访问Web应用程序时,Tomcat会创建一个新的会话,并生成一个唯一的Session ID来标识这个会话。默认情况下,每个Web应用程序都有自己的Session存储空间,这意味着不同应用程序之间无法直接共享Session数据。为了实现Session共享,我们需要进行一些配置上的调整。配置Tomcat实现Session共享实现Session共享,我们可以使用Tomcat的Manager接口和JMX(Java Management Extensions)使用Tomcat Manager接口。
Tomcat 同一服务器上 不同web项目共享session
03-30
总的来说,实现Tomcat服务器上不同Web项目session共享是一个涉及多方面技术的问题,需要对Java Web开发、Tomcat服务器配置以及安全性有深入理解。根据项目的规模和复杂性,选择合适的方法可以有效地提升用户体验并...
nginx实现多个tomcat7直接session共享所需jar包
08-03
标题中的“nginx实现多个tomcat7直接session共享所需jar包”指的是在分布式系统环境中,使用Nginx作为反向代理服务器,将用户请求分发到多个Tomcat7应用服务器上,同时实现用户会话(Session)在这些服务器之间的...
Tomcat8(Tomcat9)+redis实现Session共享(支持Redis集群)
03-21
本教程将详细介绍如何利用Tomcat 8或9以及Redis实现Session共享,支持Redis集群,以提高系统的可伸缩性和数据一致性。 首先,我们需要理解Session的概念。Session是服务器端用于存储用户状态的一种机制,通常在用户...
Nginx+tomcat 实现负载均衡session共享demo
01-05
本教程将详细讲解如何通过`Nginx`实现`Tomcat`集群的负载均衡,并实现`session`共享。 首先,我们要理解负载均衡的基本概念。负载均衡是通过将工作负载分散到多个计算资源,以优化资源使用、最大化吞吐量、最小化...
tomcat7集群实现session共享
12-09
当我们谈论“Tomcat7集群实现session共享”时,我们关注的是如何在多个Tomcat实例之间有效地同步用户会话信息,以便在集群环境中提供高可用性和负载均衡。 首先,理解session共享的重要性。在Web应用中,session是...
使用Tomcat自带的机制实现Session共享(以下操作均在Linux下进行的!)
weixin_45648789的博客
02-13 401
使用Tomcat自带的机制实现Session共享(以下操作均在Linux下进行的!)
关于 tomcat 集群中 session 共享的三种方法
sxl2017的博客
10-16 1693
前两种均需要使用 memcached 或 redis 存储 session ,最后一种使用 terracotta 服务器共享。 建议使用 redis ,不仅仅因为它可以将缓存的内容持久化,还因为它支持的单个对象比较大,而且数据类型丰富, 不只是缓存 session ,还可以做其他用途,一举几得啊。 1、使用 filter 方法存储 这种方法比较推荐,因为它的服务器使用范围比较多,不仅限于 tomcat ,而且实现的原理比较简单容易控制。 可以使用 memcached-session-filter 官方网
TomcatSession共享
英阿的博客
03-24 801
1、为什么会提出这个问题? 使用Nginx+Tomcat进行负载均衡时,希望使用轮询方式进行负载。但是如果使用轮询方式的话,可能会访问不同Tomcat,此时如果不进行Session共享,则相当于是一个新的Session。就比如现有系统都是需要认证登录的系统,如果没有Session共享,则会导致用户退出登录。 2、方案1:使用Tomcat内置的Session复制方案 具体配置如下: &l...
Tomcat集群中实现session共享
Field_Yang的博客
06-14 739
Tomcat集群中实现session共享,会话保持 Tomcat自带的session cluster方式可以实现会话共享tomcat自带的cluster是基于多播传递以及时间同步的方式,使用session cluster,可以将本地的session复制传递给集群中的其它服务器,多个tomcat间自动实时复制session信息,从而实现session保持。 一、编辑测试页面,返回会话id ...
分布式Session共享多种方案,SpringSessiontomcat+redis集群
qq_44765647的博客
02-18 1837
session共享解决方案
使用Tomcat实现session共享
Linux的成长历程
05-31 2208
4.使用Tomcat实现session共享 问题 沿用练习三,通过为在Tomcat上部署msm(memcached-session-manager)实现session会话共享,本案例需要在练习三的基础上实现: 客户端访问两台不同的后端Web服务器时,Session ID信息一致 方案 在练习三拓扑的基础上,添加两台memcached服务器,并在两台Tomcat服务器上部署msm实现sessio...
tomcat集群下的session共享和负载均衡(redis实现
qq_38152400的博客
05-10 933
tomcat集群下的session共享和负载均衡(redis实现
tomcat 下多个项目共用session
qq_58280734的博客
04-23 628
需求:平台多个项目模块为单独项目,之前采用cookie存储登录信息,各个项目从cookie里取值登录信息,因cookie存值安全性问题需要改为session存储登录信息。 1.login项目 将登录信息存储到session import com.xxx.login.entity.User; import com.xxx.login.entity.Weather; import com.xxx.login.mapper.UserMapper; import com.xxx.login.service.
Redis问题一锅端.docx
11-10
Redis问题一锅端

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值