【转】Tomcat5不保留SESSION.ser的

原文：http://blog.csdn.net/arkblue/article/details/5427962

 

 默认情况下，Tomcat5 下发布的web应用程式，如果涉及session的操作，在Tomcat5关闭或undeploy的时候，将会在 work 目录下相应的路径下创建 SESSION.ser 文件存储该webapp的 session 数据。在 session 超时时间内 Tomcat 重启或re-deploy，将会加载该文件中的数据，恢复用户原来的 session 运行环境。

     在一些安全敏感 的应用中，这可能会带来一些隐患。Tomcat 发行版本的 server.xml 里并没有一个直接的选项来禁止保留session 数据。但根据 Tomcat5设置参考文件 中的说明，Tomcat 还提供了另一种的 session 管理机制。具体设置选项请参考该文件。具体操作如下：

     创建一个和 webapps 同名的 xml 文件，比如 webapp 的 Context Path 为 test， 那么文件名即为 test.xml。文件内容如下：

    <Context path="/test" docBase="test" debug="0" privileged="true">
         <Manager className="org.apache.catalina.session.PersistentManager" saveOnRestart="false">
             <Store className="org.apache.catalina.session.FileStore" />
         </Manager>
    </Context>
    
    非常明显，saveOnRestart 参数值为false即不保留session。该 Manager 更有非常多属性，具体参见文件。注意，虽然是不保存文件，但子元素<Store> 必不可少。
    将文件放到 Tomcat5安装目录/conf/Catalina/localhost/ 路径下，重启后生效。

    如果 Tomcat5 是集成于 Jboss 中(Jboss3.2.5+ 集成Tomcat5.0.x)  ，那么设置稍有不同，将 test.xml 更名为context.xml，放置到 webapp 的 WEB-INF 目录下即可。
    
    Tomcat 5 以下的版本，就我所知，Tomcat 4.1.x 和 Tomcat5 设置类似，具体请参考相关版本的文件。