为什么WAR无法共享会话信息？

我已经看到一些开发人员在寻找解决此问题的方法：从不同的WAR（即使在同一EAR中）访问会话信息 -以下是一些示例：在tomcat中不同应用程序之间共享会话状态的任何方法？，访问另一个Web应用程序的会话，不同的WAR文件，共享资源，Tomcat：如何在两个应用程序之间共享数据？，crossContext属性在Tomcat中做什么？是否启用会话共享？等等...

从我搜索过的所有内容来看，有一些特定的解决方案取决于容器，但这在某种程度上“ 与规范相反 ”。我也浏览了Java EE规范，但没有找到答案的运气。

一些开发人员谈论Web应用程序之间的耦合，但是我倾向于不同意。如果不耦合，将WAR保留在同一个EAR中的原因是什么？例如，可以在本地访问EJB（即使在同一EAR中的另一个EJB JAR中也可以访问）。

更具体地说，我的一个WAR处理身份验证和授权，并且我想与其他WAR（在同一EAR中）共享此信息。在将WAR打包为JAR并将它们放入单个WAR项目（WEB-INF / lib）之前，我设法解决了类似的问题。但是我不喜欢这种解决方案（它需要在servlet命名上付出巨大的努力等等）。

而且没有解决方案可以回答第一个（也是最重要的）问题：为什么WAR无法共享会话信息？

像伪虚拟机一样对待EAR

EAR只是WAR文件的集合，这些文件共享通常来自JAR的通用配置和库。这使得相互依赖的服务的集合可以在应用程序容器中更容易地进行管理。因此，一旦将EAR部署到其容器中，便可以将其视为虚拟机的一种简单形式。

就像虚拟机上的一个进程无法影响另一个进程一样，EAR也是如此。所有WAR都是隔离的，以保护其内部状态。

扩展身份验证

通常，Web应用程序需要无状态才能很好地扩展。会话中包含大量信息是一种防止这种情况的反模式。这导致HTTP的无状态本质与保持快速的定制用户体验之间的冲突。身份验证是一种典型的用例，在需要大量经过身份验证的请求才能交付最终用户功能的健谈API中很普遍。

“单点登录”和“单点退出”需要谨慎的信号才能正常工作（考虑部分“签出”），尤其是在水平缩放时。仅仅共享会话状态几乎永远不是一个好的解决方案，更好的方法是对集群中所有节点均可访问的用户信息使用单一参考点。

与某些复杂，脆弱的会话共享解决方案相比，专注于快速缓存对相关信息的访问将产生可扩展性更高的结果。

我认为这是JEE EAR规范缺少的功能-跨EAR中绑定的多个Web归档共享Web会话的功能。

Weblogic之类的应用服务器具有此功能的非标准实现。

好吧，AFAIKS，没有理由要这样做。WAR是一个自包含的Web应用程序，具有自己的（特定于Web应用程序的）作用域（如会话作用域）。如果需要在多个WAR之间共享功能（Java代码，JSP页面，CSS文件），则可以选择将它们打包为JAR文件并将其部署在应用程序服务器中的方法更为明智。WAR软件包是一种更为复杂的打包解决方案，它的设计目的是封装不同于简单的“通用代码/功能”的东西。JAR是一种更简单的格式，旨在包装和共享代码和功能。当您已经拥有一个更简单，更适合该包装格式的包装时，为什么要使用一个更复杂且不是专门针对该包装的包装来共享某些东西。

我认为这样做是有目的的，以避免不同的Web应用程序意外覆盖彼此的会话信息。在您的情况下，它可能会派上用场，但总的来说，您不希望用户仅仅因为他们同时使用两个Web应用程序而使应用程序崩溃或升级其特权。在Web应用程序之间显式共享信息并不是很难。只需使用静态HashMap创建一个类，使用GUID作为键并将它们作为URL或HTTP参数的一部分进行传输。