Tomcat - 没有领域的 SSO？

Question

我正在尝试在 Tomcat 下启用 SSO，以便访问 http://mydomain.com 和 http://www.mydomain.com 的会话 cookie 可用于向 http://subdomain.mydomain.com。所有这三个域都转到同一个 Web 应用程序，因此理想情况下，我不想弄乱 SSO，而只需在标准 JSESSIONID cookie 上设置域。

然而，这似乎不可能，所以我尝试启用 Tomcat 的 SSO Valve。问题是 Valve 需要一个 Realm 的定义，而 Realm 应该指定用户和角色的数据库。但是，我没有使用基于容器的身份验证，也没有使用基于角色的授权，因此我不需要或不想配置领域。我想要的只是会话 cookie 能够在每个不同的子域之间共享。

有什么简单的方法可以做到这一点吗？

编辑

我当前的解决方法是让服务器将每个传入请求重定向到“规范”服务器名称。这很有效，但显然它并没有真正解决问题。

Answer 1

我们遇到了同样的问题，并创建了一个 Tomcat Valve 来覆盖或设置会话 Cookie 的域部分。这是一件非常简单的事情，而且已经有效很多年了。代码如下：

public class CrossSubdomainSessionValve extends ValveBase {
  public CrossSubdomainSessionValve() {
    super();
    info = "common-tomcat-CrossSubdomainSessionValve";
  }

  @Override
  public void invoke(Request request, Response response) throws IOException, ServletException {
    // cookie will only need to be changed, if this session is created by this request.
    if (request.getSession(true).isNew()) {
      Cookie sessionCookie = findSessionCookie(response.getCookies());
      if (sessionCookie != null) {
        String cookieDomainToSet = getCookieDomainToSet(request.getServerName());
        if (cookieDomainToSet != null) {
          // changing the cookie only does not help, because tomcat immediately sets
          // a string representation of this cookie as MimeHeader, thus we also
          // have to change this representation
          replaceCookie(response.getCoyoteResponse().getMimeHeaders(), sessionCookie, cookieDomainToSet);
        }
      }
    }

    // process the next valve
    getNext().invoke(request, response);
  }

  protected Cookie findSessionCookie(Cookie[] cookies) {
    if (cookies != null)
      for (Cookie cookie : cookies)
        if (Globals.SESSION_COOKIE_NAME.equals(cookie.getName())) {
          return cookie;
    return null;
  }

  protected void replaceCookie(MimeHeaders headers, Cookie originalCookie, String domainToSet) {
    // if the response has already been committed, our replacementstrategy will have no effect

    // find the Set-Cookie header for the existing cookie and replace its value with new cookie
    for (int i = 0, size = headers.size(); i < size; i++) {
      if (headers.getName(i).equals("Set-Cookie")) {
        MessageBytes value = headers.getValue(i);
        if (value.indexOf(originalCookie.getName()) >= 0) {
          if (originalCookie.getDomain() == null) {
            StringBuilder builder = new StringBuilder(value.getString()).append("; Domain=").append(domainToSet);
            value.setString(builder.toString());
          } else {
            String newDomain = value.getString().replaceAll("Domain=[A-Za-z0-9.-]*", "Domain=" + domainToSet);
            value.setString(newDomain);
          }
        }
      }
    }
  }

  protected String getCookieDomainToSet(String cookieDomain) {
    String[] parts = cookieDomain.split("\\.");
    if (parts.length >= 3) {
      return "." + parts[parts.length - 2] + "." + parts[parts.length - 1];
    }
    return null;
  }

  public String toString() {
    return ("CrossSubdomainSessionValve[container=" + container.getName() + ']');
  }
}

算法的工作原理如下：
- 仅当会话是新的时 - 查找会话 cookie
- 获取请求的主机名
- 用“.”分割主机名
- 如果它至少有 3 个部分（例如 www.google.de），请删除第一部分（到 .google.de）
- 重置 cookie

在您的上下文配置中，您可以像这样应用 Valve

<Valve className="my.package.CrossSubdomainSessionValve" httpOnlyEnabled="true" />

警告：在代码中，如果之前没有创建会话，则 Valve 会创建一个会话，并且根本不关心您是否需要会话。 ..

希望有帮助...祝你好运！