最令我烦恼的事情让我感到担心。
我正在测试一个在一个用户帐户下登录的网络应用。我关闭了broswer,回收了服务器,打开了一个新的浏览器并刷新了缓存,然后使用另一个帐户登录。
对“新”会话的检查显示,即使应该没有可用于识别用户的cookie,也已恢复上一个会话(以及所有会话数据)。
Tomcat是否根据标头中的IP地址和远程用户恢复会话?如果是这样,是否可以禁用此行为,而不是完全禁用会话持久性?
答案 0 :(得分:0)
Tomcat的会话管理器无法做到这一点 - 即使配置也是如此。 Tomcat仅使用ID来标识会话,并且在URL中没有cookie或会话ID,Tomcat 6无法将请求映射到旧会话。
您需要查看应用程序正在执行的操作以及已应用于Tomcat安装的任何自定义。