我在tomcat上运行了一个Web应用程序和Web服务。为了访问Web应用程序的某些部分并调用Web服务,用户必须登录。登录的会话存储在tomcat上。
我的问题是,如何让会话同时可用于webapp和Web服务,以便始终进行用户通过实时会话访问的安全检查?我正在考虑在同一个tomcat服务器上运行,所以也许他们可以访问同一个连接池?
答案 0 :(得分:0)
你必须做相反的事情。您需要在webservice中生成某种安全令牌(从您的webapp请求它),并根据此令牌验证传入的Web服务请求。在usr注销(或会话将过期,例如超时)之后,webapp应该请求在webservice上使安全令牌无效。