Comments on: HttpSession über mehrere Webapplikationen?

By: HeikoMaass

HeikoMaass — Thu, 14 Dec 2006 07:08:32 +0000

jo, bea löst diese Restriktion proprietär. Webapplikationen, die dieses Feature verwenden, laufen dann nur noch auf dem Bea

Viele Grüsse
Heiko

By: odilo

odilo — Thu, 14 Dec 2006 00:35:00 +0000

eine session für mehrere web-applikationen geht nicht? – bea behauptet: geht schon!

nebenbedingung 1: die web-applikationen müssen in einem ear-file deployed sein und im deployment-descriptor der applikation muss das entsprechende flag (hier: sharing-enabled) auf true gesetzt werden.

nebenbedingung 2: man will sich unbedingt einen bea weblogic installieren

viele grüsse
odilo

By: HeikoMaass

HeikoMaass — Wed, 13 Dec 2006 19:02:46 +0000

Hoi stejan,

Gute Frage. Konkret wird im Tomcat 5.5 beim Generieren der SessionID überprüft, ob sie nicht schon existiert.
Zwei gleiche SessionIDs werden also nie erzeugt, nur beim RequestDispatcher.include wird die vorhandene SessionID im anderen Context wiederverwendet. Von kann es nie passieren dass zwei Benutzer die gleiche SessionID besitzen.

Wer sich die Generierung einer SessionID genauer angucken möchte, sollte sich die Methode generateSessionID in der Klasse org.apache.catalina.session.ManagerBase anschauen (Tomcat 5.5.20)

Grüsse

Heiko

By: stejan

stejan — Wed, 13 Dec 2006 10:40:46 +0000

Das kann aber zu Security-Problemen führen, oder nicht?

Szenario:

Benutzer A benutzt die Applikation WebApp_A
Benutzer B benutzt die Applikation WebApp_B

Die beiden WebApplikationen benutzen eine WebApp_C

Zufälligerweise erhalten die Benutzer A und B in den jeweiligen WebApplikationen, dieselbe SessionID.

Frage:
Was passiert jetzt mit der Session in WebApp_C? Bekommen beide Benutzer dieselbe Session in der WebApp_C?

stejan