在Apache Tomcat的兩個域之間共享會話cookie的解決方法

Question

我在一個域名爲www.example.com.br的域下有一個網站。我的服務器設置爲使用Cookie會話跟蹤模式。

getServletContext().getSessionCookieConfig().setDomain(".example.com.br"); 
getServletContext().getSessionCookieConfig().setPath("/"); 

但現在我介紹下www.example.com網站的英語版本，因爲谷歌和搜索引擎優化技術，最好有不同的域，而不是一個子域。

我在Stack Overflow中發現了很多關於這個的問題，而且我知道很多安全原因是不可能的。

但是，如果URL有.com.br和.example.com，如果URL有.com，那麼告訴Tomcat可以使用cookie域.example.com.br嗎？我不需要共享會話信息...即：如果用戶更改域名，用戶可能必須重新登錄。我並不擔心。問題是根本沒有存儲關於.com版本的信息，因爲該cookie設置爲.com.br版本。

對此沒有任何解決方法嗎？

Answer 1

用戶的瀏覽器決定是否發送包含請求的cookie。 Web服務器（Tomcat，在你的情況下）在這個決定中沒有任何發言權。你要求明確禁止的內容。例如，RFC2109說：

用戶代理應該盡一切努力，防止 會話信息是在不同的域中的主機之間共享。

我可以做的最好的建議是使您的會話管理（登錄，註銷，...）在單個域中工作，而不管最初訪問的域用戶。