5

我希望为我的无状态或手动维护状态 Spring MVC 应用程序禁用 Jetty 9 中的各种会话跟踪功能,但我找不到任何工作示例来说明如何执行此操作。

我尝试了以下/WEB-INF/spring-config.xml标签:

...
<security:http use-expressions="true"
               disable-url-rewriting="true"
               create-session="stateless">
...

/WEB-INF/jetty-web.xml除了战争中的以下描述符:

<?xml version="1.0"  encoding="UTF-8"?>
<!DOCTYPE Configure PUBLIC "-//Jetty//Configure//EN" "http://www.eclipse.org/jetty/configure.dtd">

<Configure class="org.eclipse.jetty.webapp.WebAppContext">
    <Get name="sessionHandler">
        <Get name="sessionManager">
            <Set name="usingCookies" type="boolean">false</Set>
        </Get>
    </Get>
</Configure>

但是每当尝试打开我的应用程序的任何页面时,我仍然会收到 JSESSIONID cookie。任何提示为什么以及如何解决它?

4

4 回答 4

5

使用 servlet 3,可以将会话跟踪模式设置为 servlet 注册的一部分 - ServletContext#setSessionTrackingModes...您可以尝试一下。

但是,在您的情况下,我会调查谁在打电话HttpServletRequest#getSession(...)。在这个方法中设置断点,看看是谁在调用它。您的应用程序中的某些代码正在初始化会话。

于 2013-06-23T15:20:16.230 回答
1

您可以通过在请求完成后立即使会话无效来实现相同的目标。你可以这样做ServletRequestListener

public class SessionKiller implements ServletRequestListener {

    public void requestInitialized(ServletRequestEvent sre) {
        // no-op
    }

    public void requestDestroyed(ServletRequestEvent sre) {
        final HttpServletRequest servletRequest = (HttpServletRequest)sre.getServletRequest();
        final HttpSession session = servletRequest.getSession(false);
        if (session != null) {
            session.invalidate();
        }
    }
}

要使用ServletRequestListener,请将以下内容添加到web-appwebapp 的元素中web.xml

<listener>
  <listener-class>YOUR-PACKAGE-NAME.SessionKiller</listener-class>
</listener>
于 2014-09-03T16:06:52.477 回答
1

作为 user100464 建议的使创建的会话无效的替代方法,我使用了一个HttpSessionListener,每当有人尝试打开会话时(例如通过调用),它就会抛出异常request.getSession(),并删除了出现的事件。

public class PreventSessions implements HttpSessionListener {

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        throw new UnsupportedOperationException("sessions are not allowed");
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        throw new UnsupportedOperationException("sessions are not allowed");
    }
}
于 2015-03-05T10:25:21.260 回答
0

Pavel Horal在他的回答中建议的使用 Spring Boot 的实现很简单:

import org.springframework.boot.web.servlet.ServletContextInitializer;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

import java.util.Collections;

@Configuration
public class WebContainerConfiguration {
  @Bean
  public ServletContextInitializer servletContextInitializer() {
    return servletContext -> servletContext.setSessionTrackingModes(Collections.emptySet());
  }
}

为我工作得很好。谢谢!

于 2021-01-14T15:13:16.377 回答