同一tomcat下实现多应用session共享 单点登录

随着web开发的应用程序越来越复杂，我们可能会将原有的一个应用拆分成多个应用，同时也应该支持新增加的应用扩展，
但又希望通过单点登录统一管理所有的应用，二每一个web项目的session是独立的，不能只能同一管理，

而现在有很多比较流行的技术实现单点登陆 比如cas单点登录，restful令牌等等。

cookie共享等等，但是结余我们很多应用是很久之前开发的，使用session来管理，未考虑扩展，新的应用想集成进来时不免遇到困难，这里提供一种解决方案
同一tomcat下实现多应用session共享，实现单点登录

通过主应用ContextA实现单点登陆

1.tomcat server.xml 开启crossContext共享

<Host name="localhost"  appBase="webapps"
unpackWARs="true" autoDeploy="true"
xmlValidation="false" xmlNamespaceAware="false">

<Context path="/ContextA"  debug="9" reloadable="true" crossContext="true"/>
<Context path="/ContextB"  debug="9" reloadable="true" crossContext="true"/>

</Host>

2.主应用ContextA 登录后设置session到ServletContext 
这里设置用户id admin 作为 ServletContext键,并且记录该请求的ip地址， 因此不支持一个账号多处同时登录

session.setAttribute("user", user);
session.setAttribute("ipAddr", getIpAddress(request));
session.getServletContext().setAttribute("session", session);

3.应用ContextB 登录页

@RequestMapping(value = "/login")
public String login(HttpSession session,HttpServletRequest request) {
ServletContext ContextB = session.getServletContext();
ServletContext ContextA= ContextB.getContext("/ContextA");// 这里面传递的是 ContextA的虚拟路径
HttpSession sessionA =(HttpSession)ContextA.getAttribute("admin");
if (sessionA != null) {
String ip = sessionA.getAttribute("ipAddr").toString();
if (!ip.equals(getIpAddress(request))) {
logger.error("ip地址校验不通过");
return null;
}
try{
Object attribute = sessionA.getAttribute("user");
if(attribute!= null){
System.out.println("user: "+attribute);
session.setAttribute("user", attribute);
//TODO:已经登录跳转到首页
}
}catch(IllegalStateException e){
System.out.println("ContextA session 已经失效");
}

}
return "login";
}

4.通过以上步奏session共享是解决了，但是如果在主应用或子应用中登出，或着session到期，存在ServletContext 中的session是没办法销毁的，导致session失效无法同步，这种情况可以采用HttpSessionListener监听session销毁，同步其他应用的session

设置HttpSessionListener 实现session失效同步 
ContextA:

import javax.servlet.http.HttpSessionListener;
import javax.servlet.http.HttpSessionEvent;

public class SessionCounter implements HttpSessionListener {
private static int activeSessions =0;
/* Session创建事件 */
public void sessionCreated(HttpSessionEvent se) {

}
/* Session失效事件 */
public void sessionDestroyed(HttpSessionEvent se) {
ServletContext ContextA=se.getSession().getServletContext();
ServletContext ContextB= ContextA.getContext("/ContextB");
HttpSession sessionB =(HttpSession)ContextB.getAttribute("admin");
if (sessionB != null) {
sessionB.invalidate();
}

}
}

ContextB:

import javax.servlet.http.HttpSessionListener;
import javax.servlet.http.HttpSessionEvent;

public class SessionCounter implements HttpSessionListener {
private static int activeSessions =0;
/* Session创建事件 */
public void sessionCreated(HttpSessionEvent se) {

}
/* Session失效事件 */
public void sessionDestroyed(HttpSessionEvent se) {
ServletContext ContextB=se.getSession().getServletContext();
ServletContext ContextA= ContextA.getContext("/ContextA");
HttpSession sessionA =(HttpSession)ContextA.getAttribute("admin");
if (sessionA != null) {
sessionA.invalidate();
}
}
}

web.xml配置session监听器

<listener>
<listener-class>demo.listener.SessionCounter</listener-class>
</listener>

扩展：示例是两个应用实现共享，如果有多个应用可以在主登录应用ServletContext维护一个包含所有子应用的context列表，具体操作遍历即可