我想彻底消除HttpSession
您不能完全禁用它。您所需要做的就是不要在Web应用程序的代码中任何地方
request.getSession()或
request.getSession(true)任何地方获取它的句柄,并确保您的JSP不会通过设置隐式地执行此操作
<%@page session="false"%>。
如果您主要关心的是实际上禁用在幕后使用的
cookie HttpSession,那么您只能在Java EE 5 / Servlet 2.5中在特定于服务器的webapp配置中这样做。例如,在Tomcat中,您可以将
cookies属性设置为
falsein
<Context>元素。
<Context cookies="false">
另请参阅此Tomcat特定文档。这样,只有在您出于某种原因从请求中获取会话时,该会话才不会保留在后续的请求中,这些请求不会进行URL重写。毕竟,如果您不需要它,只是不要抓住它,那么它将根本不会被创建/保留。
或者,如果您已经在使用Java EE 6 / Servlet 3.0或更高版本,并且确实想通过进行操作
web.xml,则可以按如下所示使用new
<cookie-config>元素web.xml将最大使用期限归零:
<session-config> <session-timeout>1</session-timeout> <cookie-config> <max-age>0</max-age> </cookie-config></session-config>
如果你想硬编码在你的web应用,这样
getSession()永远不会返回
HttpSession(或“空” HttpSession),那么你就需要上创建一个过滤器监听url-pattern的/*取代了
HttpServletRequest以
HttpServletRequestWrapper实现其所有收益
getSession()的方法null,或虚拟定制HttpSession什么都不做甚至抛出的实现
UnsupportedOperationException。
@Overridepublic void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException { chain.doFilter(new HttpServletRequestWrapper((HttpServletRequest) request) { @Override public HttpSession getSession() { return null; } @Override public HttpSession getSession(boolean create) { return null; } }, response);}PS这是个坏主意吗?在我真正需要它们之前,我宁愿完全禁用它们。
如果您不需要它们,那就不要使用它们。就这样。真的:)
