我需要有关Spring安全cookie路径的帮助。
我们在tomcat,app1和app2中运行了2个Web应用程序。两者都使用相同的域名,例如www.company.com/app1和www.company.com/app2。一切都在tomcat工作得很好。
但是当我们迁移到WebSphere时,它开始提出问题。问题是当用户登录到app1,app2 cookie被覆盖时,因为WebSphere将cookie存储在根路径中/并且使用相同域的两个应用程序都将覆盖另一个应用程序cookie。在tomcat中,它存储在应用程序路径中,如/ app1和/ app2,所以没问题。
我能够通过配置应用程序cookie路径来配置WebSphere以使其工作。有关如何在WebSphere中进行配置,请参阅https://serverfault.com/questions/461518/websphere-jsessionid-cookie-overwrite-between-two-apps-on-the-same-domain-diffe。
现在我的问题是,我不想在WebSphere中配置它。如何在应用程序级别执行此操作,例如配置Spring Security xml或任何其他位置。我们希望在应用程序级别中实现这一点,因为它在所有容器中都更具可移植性和行为相同。
我尝试通过添加以下内容来配置web.xml,但它无法正常工作。
<session-config>
<session-timeout>720</session-timeout>
<cookie-config>
<name>JSESSIONID</name>
<path>/app1</path>
<http-only>true</http-only>
<secure>true</secure>
</cookie-config>
</session-config>