Tomcat 会话 cookie 不会过期

Posted 2023-02-27

【中文标题】Tomcat 会话 cookie 不会过期

【英文标题】：Tomcat session cookie doesn't expire

【发布时间】：2013-06-13 03:06:20

【问题描述】：

我在 Tomcat 7 中有一个 Web 应用程序，它将用户信息作为 DTO 对象保存在会话中。我还为我的项目启用了 Spring 安全性，如果用户没有会话，它会自动将用户重定向到登录页面。

如果我登录到我的应用程序一次，然后我在 Eclipse 中重新启动 Tomcat，那么会发生我的会话被刷新但 cookie 没有消失。

这意味着在服务器重新启动后会话中没有 UserDto 但有效的 JSESSIONID 保留在浏览器中。因此，spring security 仍然认为用户已登录，而实际上他并未登录。

为什么会这样？ （我通过在 Firefox 中查看页面信息来检查 JSESSIONID cookie 的类型 - Expire: At end of session。因此，理想情况下它应该在服务器重启时过期，还是不应该？）

编辑：虽然 Firefox 说 Expire: At end of session，但如果我关闭并重新启动 Firefox，cookie 仍然存在。

【参考方案1】：

cookie 保存在浏览器中 - 当服务器重新启动但浏览器继续运行时，它将保存 cookie 并在下一次请求时将其呈现给服务器。

现在在服务器端，您有多种选择：您可以将 tomcat 的 SessionManager 配置为持久保存在磁盘上并在重新启动时读取内容 - 这也是用于在集群中的多个 tomcat 之间分配会话的选项：当会话被序列化到磁盘，任何服务器都可以通过“只是”反序列化来继续会话。有一些隐含的成本（因为您经常需要序列化会话）

目前我无法为您提供比这更具体的提示 - 但如果您查看它并了解 cookie 存储位置之间的区别，为什么它在服务器重新启动时不会更改，您将不得不查看查看会话管理器的 tomcat 文档，希望您能弄明白。

【讨论】：

一看到这个问题，我就在等待一个好的答案，我得到了一个:)。即使我有点怀疑，所以没有回答这个问题。但你的回答澄清了它

@Olaf 所以cookie不会被删除，因为它是由不知道服务器状态的浏览器持有的。但是服务器不应该拒绝这个cookie无效吗？为什么spring security不将请求重定向到登录页面？

即使我重新启动 Firefox，Btw cookie 也不会被删除。

【参考方案2】：

如果您在 Web 项目中使用了 session，Tomcat 会自动生成一个 JSESSIONID。 如果会话 id 改变了，那么 JSESSIONID 将改变对应。因为 JSESSIONID表示WEB项目的seesion ID。 服务器停止后会过期（默认30分钟内过期），但是cookie不能自动删除。 JSESSIONID可以配置在tomcat的server.xml文件中。

【参考方案3】：

当您成功登录时，SpringSecurity 会在您的浏览器中存储一个 cookie。

当浏览器发送请求时，SpringSecurity 会检查 cookie 中的内容。如果 SpringSecurity 找到之前存储的值，就认为你已经登录了，所以 SpringSecurity 不会重定向到登录页面。

【参考方案4】：

从Servlet 3.0 向 cookie 添加过期日期，您可以将 cookie-config 添加到您的 web.xml 文件中

<session-config>
    <session-timeout>30</session-timeout> 
    <cookie-config>
        <max-age>1800</max-age>
    </cookie-config>
</session-config>