Weblogic跨域session冲突解决办法

一.现象

        在WebLogic中，有两个不同域A（端口：9000）和B（端口：8000），应用CA在域A中，应用CB在域B中，进行如下操作：

1.先登录应用CA，再登录应用CB，然后，切换回应用CA，发现应用CA的Session丢失；

2.应用CA中有指向应用CB的链接，登录应用CA，点击指向应用CB的链接，应用CA的Session丢失；

 

二.原因

        因Cookie冲突导致Session丢失。

        Cookie的覆盖机制：如果一个新的cookie与一个已存在的cookie的NAME、Domain和Path属性值均相同，则旧的cookie会被丢弃。（参考：http://code.google.com/p/browsersec/wiki/Part2#Same-origin_policy_for_cookies）

        WebLogic的Cookie相关配置：

        由于没有在Weblogic.xml配置文件中对cookie的相关属性值进行配置，因此应用CA和应用CB的cookie的Name、Domain和Path属性值均为默认值，即Name为JSESSIONID，Path为“/”，Domain为服务器的IP地址，三个属性值均相同，这就造成了应用CA的cookie与应用CB的cookie会互相覆盖，从而导致相应应用的session丢失。

 

三.解决办法

        在Weblogic.xml配置文件中增加Cookie的相应属性值的配置：

        方法1：设置各应用的cookie的Name属性为不同值

        方法2：设置各应用的cookie的Path属性为不同值（cookie的Path属性值需与context-root值保持一致，context-root若未在Weblogic.xml中指定则默认为部署的WAR包名或文件夹名，若同一Weblogic服务器不同域中的两应用context-root相同，则此方法不可行）

        附注：虽然问题是在WebLogic下的不同域部署应用进行互访的情况下发现的，但是，从问题产生的原因来看，在同一个域中的不同应用的互访，如果未做cookie相关属性值的配置，也会出现cookie冲突的问题。

 

四.WebLogic修改JSESSION方法（如修改为JSESSIONID1）

<?xml version="1.0" encoding="utf-8" ?>
<!--
<weblogic-web-app xmlns="http://www.bea.com/ns/weblogic/90" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
-->
<!--
<!DOCTYPE weblogic-web-app PUBLIC "-//BEA Systems, Inc.//DTD Web Application 8.1//EN" "http://www.bea.com/servers/wls810/dtd/weblogic810-web-jar.dtd">
-->
<wls:weblogic-web-app xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:wls="http://www.bea.com/ns/weblogic/weblogic-web-app" xsi:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.sun.com/xml/ns/javaee/web-app_2_5.xsd http://www.bea.com/ns/weblogic/weblogic-web-app http://www.bea.com/ns/weblogic/weblogic-web-app/1.0/weblogic-web-app.xsd">
<!--
<weblogic-web-app>
-->
<wls:description>pis</wls:description>
    <wls:session-descriptor>
       <wls:timeout-secs>7200</wls:timeout-secs>
    <wls:cookie-name>JSESSIONID1</wls:cookie-name>
    <wls:encode-session-id-in-query-params>true</wls:encode-session-id-in-query-params>
 </wls:session-descriptor>
  <wls:context-root>pis</wls:context-root>
    <wls:container-descriptor>
    <wls:filter-dispatched-requests-enabled>true</wls:filter-dispatched-requests-enabled>
    <wls:index-directory-enabled>true</wls:index-directory-enabled>
 <wls:prefer-web-inf-classes>true</wls:prefer-web-inf-classes>  
  </wls:container-descriptor>
</wls:weblogic-web-app>

 

五.解决在iframe中进行跨域访问时session丢失的问题 

        iframe就是跨域访问，因此iframe中也会产生这种问题，亦可通过此方法解决。

        原来session在服务器端生成后分配的sessionID在客户端的保存方式是个cookie，它的生命周期在浏览器关闭后就会结束，而这个cookie的名字如果不特别设置，weblogic会以默认的名称“JSESSIONID”来设置这个cookie的名称，我两个应用的的session cookie名字都没有设置，客户端在第一次通过应用A请求代理转发到应用B时，应用B返回的同名session cookie覆盖了客户端原本的应用A的session cookie，所以导致了应用A session的丢失。 

        解决方法是，在应用B的weblogic.xml中的session descriptor标记中添加session cookie的名称设置，使其区别于A应用的session cookie名称。其中的cookie-name可以重命名!

 

文章来源：http://www.cnblogs.com/ibook360/archive/2011/12/15/2288666.html