Session 用户主体不'；你不会坚持使用tomcat会话吗？

为什么在使用领域时，用户主体不能在tomcat会话中持久化？有没有办法配置阀域或会话来持久化它？这种技术是否存在安全问题

---

我问这个问题的原因是，每次我重新部署我们的应用程序（至少一天几次），它都会让所有人都退出这个领域。现在这并不可怕，但我们需要一个用于生产的解决方案。

会话不会在web应用程序之间共享，因此当您部署应用程序的新版本时，每个用户都将获得一个新会话，因此必须重新登录

一种选择是使用并行部署。它允许应用程序的多个版本并行运行。如果部署了版本001，则所有用户都将使用版本001。部署版本002时，使用sesison for版本001的用户将继续使用它。没有有效会话的新用户将被定向到版本002。正在使用会话过期的版本001的用户下次发出请求时将被定向到版本002

---

如果取消部署旧版本，所有仍有会话的用户都将注销并移动到最新版本。

我想我不应该使用“部署”一词。请原谅我在Tomcat术语方面缺乏细节和知识。当我通过eclipse对项目进行一些小的更改并对其进行测试时，会话将保持不变，但主体不会。显然，它们是不可序列化的，但我很好奇为什么。@Zuill我不明白。如果每个人都已注销，则不能说会话持续。@EJP当服务器重置时，它似乎保留了特定用户的会话变量（该用户仍有一个“持续”的未过期会话cookie）在服务器上进行刷新。但是，领域身份验证器不记得用户，并要求他们再次登录。因此，我最终得到的是现有会话变量，但没有用户主体。为什么不将主体存储在服务器上的会话中“刷新”（或您称之为“刷新”）呢？这是一种安全风险吗？我想人们可能有办法修改它们，这是一种安全风险？我面临着同样的问题。当我停止tomcat SESSION.ser时，文件会写入文件系统。当我启动它并刷新浏览器窗口时，SESSION.ser会被读取和删除。主要信息会在

FormAuthenticator.doAuthenti中丢失cate（）

。