在Web应用程序中共享会话

Question

我正在使用JSP和Servlets开发Web应用程序（容器： Tomcat7 ，数据库： Oracle10 ）

我开发了一些Web应用程序，如Profile ， Reports ， Leads 。 然后我开发了一个Login应用程序。 在这个应用程序中，我在Session存储了USERID以及更多的会话属性。

用户登录后，将显示菜单，其中包含指向其他应用程序的链接，例如指向Profile应用程序的链接。

所以当我在用户登录后访问Session时：

• 如果我尝试使用相同的应用程序（登录）访问会话，那么我将获得具有所有必需属性的会话
• 但是当我尝试从其他应用程序（如Profiles访问会话时，我将会话视为null

用于检查会话的代码片段 （登录Web应用程序中的Servlet过滤器）

HttpSession session = request.getSession(false);
if(session==null)
{
    System.out.println("Session does not exist... Redirected to LOGIN Page.");
    response.sendRedirect("/ApplicationName/Login.jsp");
}

我正在访问Profile应用程序中的会话以检查用户是否已登录。

然后我搜索了，并且我发现出于安全原因无法从其他应用程序访问Session 。（我还发现可以通过设置crossContext="true"来完成）

然后我找到了其他选项，比如制作所有应用程序的EAR然后进行部署，但遗憾的是， Tomcat7不支持EAR 。

我是网络环境的新手，所以如果有人在此之前做过这方面的工作，那么请告诉我有什么选择？

提前致谢

UPDATE1

现在我决定使用EAR ，我将收集所有WAR文件，然后我将尝试在它们之间共享会话。 由于Tomcat不支持EAR我安装了Oracle Glassfish ，然后我创建了Enterprise Application Project ，其中包含两个应用程序1. Login和2. Profiles ，然后创建EAR文件，并将其部署在Glassfish 。 所以我想分享这两个应用程序之间的会话（在Glassfish上），所以如果有人对它有任何想法，那么请告诉我。 （链接到任何教程也将不胜感激）

Answer 1

如上所述，您要求的要求是单点登录（SSO）。 您可以实现的最简单的SSO如下：

1. 成功验证后，添加带有加密用户名的cookie（您不需要加密密码）
2. 如果您使用用户名cookie访问任何应用程序并成功解密，则表示用户已通过身份验证，您不应显示登录页面。

使用AES-256进行加密。

Answer 2

我在商店里看到这种方式的方法是将登录凭据填入加密的cookie并安装代理（java过滤器，Web服务器模块等，在需要用户数据的应用程序前面），这将解密cookie并通过沿着数据到下游应用程序。 如果要跨应用程序共享登录信息，请不要在HTTP会话中存储登录信息。