1. 首页
  2. 问题
  3. 我可以关闭web.xml中的HttpSession吗?
一尘不染

我可以关闭web.xml中的HttpSession吗?

java

我想完全消除HttpSession-
我可以在web.xml中这样做吗?我敢肯定,有一些特定于容器的方法可以做到这一点(当我进行Google搜索时,搜索结果会很拥挤)。

PS这是个坏主意吗?在我真正需要它们之前,我宁愿完全禁用它们。


阅读 173

收藏
2020-09-09

共1个答案

一尘不染

我想彻底消除HttpSession

您不能完全禁用它。您需要做的就是 不要
在Web应用程序的代码中任何地方request.getSession()request.getSession(true)任何地方都得到它的句柄,并确保您的JSP不会通过设置隐式地做到这一点<%@page session="false"%>

如果您主要关心的是实际上禁用在幕后使用的cookie HttpSession,那么您只能在Java EE 5 / Servlet
2.5中在特定于服务器的webapp配置中这样做。例如在Tomcat中,您可以将cookies属性设置为falsein <Context>元素。

<Context cookies="false">

另请参阅此Tomcat特定文档。这样,只有在您出于某种原因从请求中获取会话时,该会话才不会保留在后续的未进行URL重写的请求中。毕竟,如果您不需要它,
只是 不要抓住它,那么它将根本不会被创建/保留。

或者,如果您已经在使用Java EE 6 / Servlet 3.0或更高版本,并且确实想通过进行操作web.xml,则可以按如下所示使用new
<cookie-config>元素web.xml将最大使用期限归零:

<session-config>
    <session-timeout>1</session-timeout>
    <cookie-config>
        <max-age>0</max-age>
    </cookie-config>
</session-config>

如果你想硬编码在你的web应用,这样getSession()永远不会返回HttpSession(或“空”
HttpSession),那么你就需要上创建一个过滤器监听url- pattern/*取代了HttpServletRequestHttpServletRequestWrapper实现其所有收益getSession()的方法null,或虚拟定制HttpSession什么都不做甚至抛出的实现UnsupportedOperationException

@Override
public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
    chain.doFilter(new HttpServletRequestWrapper((HttpServletRequest) request) {
        @Override
        public HttpSession getSession() {
            return null;
        }
        @Override
        public HttpSession getSession(boolean create) {
            return null;
        }
    }, response);
}

PS这是个坏主意吗? 在我真正需要它们之前,我宁愿完全禁用它们。

如果您不需要它们,那就不要使用它们。就这样。真的:)

2020-09-09