http://blog.csdn.net/zq9017197/article/details/6326667

這篇文件是最近一次工作中遇到問題的總結，且聽我娓娓道來：（可能有很多地方不對，我只是這樣想通拉。）

最近新進一個公司，做的專案是手機支付系統。由於涉及到金錢相關的，所以安全性要求特別的高。專案分了很多個子系統，在部署（測試）的時候是每個Tomcat上面只放一個子系統。比如現在有5個子系統，那麼就會對應5個Tomcat啟動了放在linux上面的。為什麼這麼做？試想如果在上線以後，如果其中一個系統有問題要重啟伺服器，5個子系統都放在一起的話，那不是全部都會跟著重啟了！現在說說我們遇到的問題了。

使用者登入後，在管理子系統，有一個充值連線，會跳到充值子系統去充值。這樣跨JVM的跳轉只能用redirect來跳，但是使用者自己的登入狀態就會丟失了（登入session丟失）。後來改為forward跳轉到自己的jsp頁面，然後在form提交到充值子系統去充值。在本地開發測試的時候session是不會丟失的，但是釋出到linux下面的Tomcat就會丟失。找了各種原因都以為是作業系統差異的問題。

後來發現一個這樣的區別，開發測試是兩個IP不同的埠號的跳轉，釋出到linux上面測試是同一個IP不同的埠號的跳轉。這樣涉及到對瀏覽器session和cookies的瞭解程度拉。

首先session是存放在容器裡面的，而且一次會話的session會生成一個jsessionid，在管理session的時候是根據jsessionid去尋找，能找到就不會建立新的session，找不到才建立新的session，確定這才是一次新的會話。而cookies是存放在客戶端的檔案。jsessionid也會放到cookies裡面。

兩個IP、兩個埠就會有兩個session、兩個cookies這樣session是會丟失的。首先在管理子系統第一次登入會生成一個jsessionid，在一個cookies裡面去是找不到這個session的。就會建立登入成功的session。然後跳轉到充值子系統，也會在充值子系統生成一個jsessionid，到另一個cookies裡面去找這個session也是找不到的，也會建立一個session。以前的session就這樣丟失拉。

一個IP、兩個埠就會有兩個session、一個cookies這樣session也是會丟失的。首先在管理子系統第一次登入會生成一個jsessionid，在cookies裡面去是找不到這個session的。就會建立登入成功的session。然後跳轉到充值子系統，也會在充值子系統生成一個jsessionid，到同樣這個cookies裡面去找這個session也是找不到的，也會建立一個session覆蓋以前的session。

解決把法就是不讓jsessionid自動生成，放到cookies裡面。而是在url裡面傳遞jsessionid，不用靠cookies。說通俗點這個就叫url重寫。

這樣在管理系統第一次登入會生成一個jsessionid，建立登入session。當到充值系統的時候我會把jsessionid傳過去那邊也會生成一個session。意思就是兩個容器各自生成了各自的session，但是共用的同一個jsessionid。這樣每次到容器裡面去取session內容都是根據同一個jsessionid去取，如果建立過的話。裡面肯定是能拿到的。但是裡面的內容各自建立的又不一樣。這樣session就不會丟失老！！！

要讓url重寫有很多方法，比如：

<c:url value=""/>

response.encodeRedirectUrl("");
response.encodeUrl("");

等多種方法。但要讓cookies裡面的jsessionid不被使用就需要瀏覽器完全禁用cookies等。還有個簡單的方法就是在Tomcat裡面配置：

tomcat_home/conf/context.xml裡面把<Context>改為<Context cookies = "false">這樣就好拉！！！

然後url就會自動變成這個樣子：

所以每個請求要加上jsessionid引數，後臺程式碼通過jsessionid，獲取session，再獲取使用者資訊