IFrame Portlet的session丢失问题解决

Liferay额外研究（三）：IFrame Portlet的session丢失问题解决

       Liferay提供了一种非常的简单web应用整合和单点登陆的方式：Iframe Portlet。利用Iframe Portlet可以很容易将一个已经存在的web应用纳入，并且支持利用form的post或get方式，实现用户的登陆。

 

       对于Liferay这样的机制没有任何问题，实现的也非常巧妙；但是对于很多web应用系统来说，使用Liferay IFrame Portlet的form方式实现登陆后，虽然可以成功登陆，但是在显示的新页面中，却发现用户信息丢失，或者更准确的说，是session丢失。

 

       其实，这种现象跟Liferay关系不大，而是应用本身决定的。事实上，所有的portal context的iframe 方式，都有可能发生这个情况。

 

       因为很多web应用系统，在执行Login操作的后，习惯性的选择redirect操作，这样会强制浏览器中的显示地址变更为转移的地址。事实上这是个很 正确的做法，在正常境况下，不会有任何问题，而且还可以很好的防止页面刷新等所带来的问题。

 

       但是在Liferay的IFrame Portlet中，web应用这样的Redirect操作，造成了调转到新页面后，session变成了一个新的，从而造成放置在原有session中的 login user信息丢失。

 

       跟踪并做了如下的一组测试（Liferay和webapp在不同的JVM环境下）：

应用	位置	session id
（Liferay）	执行form post前	D03E1B828395EF5BCB1063A8290BD254
（APP_A）	Login操作	397BB3656E2A12A96CE3F16E0A89C607
（APP_A）	登陆后的新页面	58A1054C6EDE4A7D6CFA2FCDBB3E0736

       从上面可以明显看出来，redirect之后，web应用的新页面产生了新的sessionid      

 

       解决这个问题，有两种方式，这两种方式都依赖于被liferay portlet纳入的web应用自身。

       方式一：Login操作后，不采用Redirect方式，而是Dispatcher方式。

       方式二：Login操作后，依然采用redirect方式，但将当前的jsessionid赋予新的页面。

 

Dispatcher方式：

 

ServletContext sc = getServletContext(); RequestDispatcher rd = null; rd = sc.getRequestDispatcher("/index.jsp"); rd.forward(request, response);

 

Redirect方式（保持同一个session）：

      

response.sendRedirect(“ index.jsp;jsessionid=397BB3656E2A12A96CE3F16E0A89C607”)

       有一种情况下，无所谓是否采用Redirect方式，这就是在Liferay和webapp在同一个JVM环境下。