web.xml中配置session属性

为什么要在web.xml配置JSP属性

在许多情况下，都可以在Java EE中直接使用HTTP会话，不需要添加显示地配置。不过可以在部署描述符中配置它们，并且出于安全地目的也应该配置。在部署描述符中使用标签配置会话。

样例

	30
	
		JSESSIONID
		example.org
		/shop
		
			
		
		true
		false
		1800
	
	COOKIE
	URL
	SSL

了解会话属性组

所有和中的标签都是可选的，但如果使用了这些标签，那么必须按照本例中的顺序添加到部署描述符中（除了被忽略的标签）。标签指定了会话在无效之前，可以保持不活跃状态的时间，以分钟为单位。如果该值小于等于0，那么会话将永远也不过期。

用于表示容器应该使用哪种技术追踪会话ID，它的合法值有：

   URL----容器将只在URL中内嵌会话ID 。不使用cookie或SSL会话ID。这种方式非常不安全。

   COOKIE -----容器将使用会话cookie追踪会话ID 。该技术非常安全。

   SSL ----容器将使用SSL会话ID作为HTTP会话ID。该方法是最安全的方式，但要求使用的所有请求都必须是HTTPS请求。

可以为配置多个值，表示容器可以使用多种策略。

只有在追踪模式中使用了COOKIE时，才可以使用标签。

•  通过标签可以自定义会话cookie的名字。默认值为JSESSIONID
• 标签和对应着cookie的Domain和Path特性。Web容器已经设置了正确的默认值，因此通常不需要自定义它们。
• 标签将在会话ID cookie中添加Comment特性，在其中可以添加任意文本。这通常用于解释cookie的目的，并告诉用户网站的隐私策略。
• 标签和对应着cookie的HttpOnly的Secure特性，它们的默认值都是假
• 最后一个标签指定了cookie的Max-Age特性，用于控制cookie何时过期。默认情况下，cookie没有过期日期，这意味着它将在浏览器关闭时过期。可以自定义该值，单位为秒（以分钟为单位）。