Änderungen von Dokument Tomcat-Einstellungen

Von 1.3 nach 1.4 Von 2.1 nach 3.1

Von Version 1.4

bearbeitet von gru
am 12.10.2021, 09:53

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Auf Version 2.1

bearbeitet von MKO
am 23.11.2021, 15:59

Änderungskommentar: Es gibt keinen Kommentar für diese Version

Rohform
Im Layout

Zusammenfassung

Seiteneigenschaften (2 geändert, 0 hinzugefügt, 0 gelöscht)

Details

Seiteneigenschaften

Dokument-Autor

@@ -1,1 +1,1 @@
--XWiki.gru
++XWiki.mko

Inhalt

@@ -114,7 +114,7 @@
  export JAVA_OPTS="$JAVA_OPTS -Dfile.encoding=UTF-8"
  {{/code}}
--== Session-Timeout ==
++== Session-Timeout==
  Das Session-Timeout kann innerhalb der //web.xml// von {{formcycle case="dat"/}} erhöht werden, sollte die Standardeinstellung von 30 Minuten nicht ausreichen.
@@ -127,7 +127,39 @@
  </session-config>
  {{/code}}
++== Session-Tracking ==
++Innerhalb der //web.xml// von {{formcycle case="dat"/}} ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) oder auch in der globalen //web.xml// des Tomcat-Servers ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) kann der Modus des zu verwendenden Session-Tracking Modus hinterlegt werden. Standardmäßig gibt es seitens {{formcycle case="dat"/}} hierfür keine Festlegung, sodass hier sowohl die Verwendung von Cookies oder das Übertragen der Session-ID innerhalb der URL möglich sind. Zweiteres ist ein Rückfall falls z.B. der Browser des Benutzers keine Cookies zulässt. Da eine solche URL jedoch bei unachtsamem Gebrauch in falsche Hände geraten kann und man so ggf. die Sitzung eines angemeldeten Benutzers übernehmen könnte, empfiehlt es sich wenn möglich ausschließlich das Session-Tracking per Cookie zu verwenden. Konfiguriert wird das Verhalten durch das Auskommentieren bzw. Einfügen der gewünschten Mechanismen. Innerhalb der {{formcycle case="dat"/}}-//web.xml// sind standardmäßig beide Werte auskommentiert was zu dem beschriebenen Standard-Verhalten führt. Ein Session-Tracking ausschließlich per Cookie würde demnach wie folgt aussehen:
++
++{{code language="xml"}}
++<session-config>
++...
++  <!-- Uncomment the session-trackings-mode(s) you want to use -->
++  <!-- <tracking-mode>URL</tracking-mode> -->
++  <tracking-mode>COOKIE</tracking-mode>
++...
++</session-config>
++{{/code}}
++
++== Cookie-Konfiguration ==
++
++Innerhalb der Session-Konfiguration können sowohl in der globalen Tomcat-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) als auch innerhalb der {{formcycle case="dat"/}}-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) Einstellungen bezüglich des verwendeten Session-Cookies getroffen werden. {{formcycle case="dat"/}} setzt hier standardmäßig bereits den Wert //http-only// was dazu führt, dass der Cookie lediglich innerhalb des Browsers benutzt werden kann. Zusätzlich besteht die Möglichkeit das Cookie auf eine feste Domain (//domain//) und Pfad (//path//) zu binden und auch einen eigenen Namen (//name//) sowie die Gültigkeit (//max-age//) festzulegen. Standardmäßig sind Anpassungen dieser Einstellungen nicht nötig. Relevanter ist jedoch die Option //secure//. Ist diese vorhanden und hat den Wert //true//, werden Cookies lediglich bei der Kommunikation über HTTPS übertragen. Sollte die Anwendung oder der ganze Server ausschließlich über HTTPS bereitgestellt werden, ist es aus Gründen der Sicherheit empfohlen diesen Wert zu setzen. Innerhalb der {{formcycle case="dat"/}}-//web.xml// würde dies wie folgt aussehen:
++
++{{code language="xml"}}
++<session-config>
++...
++  <cookie-config>
++    <!-- <comment>This is my special cookie configuration</comment> -->
++    <!-- <domain>example.com</domain> -->
++    <!-- <name>CUSTOM_NAME</name> -->
++    <http-only>true</http-only>
++    <secure>true</secure>
++    <!-- <max-age>30000</max-age> -->
++    <!-- <path>/formcycle</path> -->
++  </cookie-config>
++</session-config>
++{{/code}}
++
  == Kontextname ==
  Der Kontextname wird beispielsweise genutzt, um [[Monitoring Beans>>doc:Formcycle.SystemSettings.Monitoring]] zum Überwachen des Serverstatus einzurichten. Standardmäßig ist der Kontextname der Name der WAR-Datei, kann aber auch geändert werden, indem der Kontextparameter //XFC_CONTEXT_NAME// in der Konfigurationsdatei //web.xml// geändert wird.