Änderungen von Dokument Tomcat-Einstellungen

Von Version 3.1
bearbeitet von MKO
am 23.11.2021, 16:00
Änderungskommentar: Es gibt keinen Kommentar für diese Version
Auf Version 4.1
bearbeitet von MKO
am 24.11.2021, 10:31
Änderungskommentar: Es gibt keinen Kommentar für diese Version

Zusammenfassung

Details

Seiteneigenschaften
Inhalt
... ... @@ -116,7 +116,7 @@
116 116  
117 117  == Session-Timeout==
118 118  
119 -Das Session-Timeout kann innerhalb der //web.xml// von {{formcycle case="dat"/}} erhöht werden, sollte die Standardeinstellung von 30 Minuten nicht ausreichen.
119 +Das Session-Timeout kann innerhalb der //web.xml// von {{formcycle/}} erhöht werden, sollte die Standardeinstellung von 30 Minuten nicht ausreichen.
120 120  
121 121  Der Pfad zur Konfigurationsdatei ist {{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}
122 122  
... ... @@ -131,7 +131,7 @@
131 131  
132 132  == Session-Tracking ==
133 133  
134 -Innerhalb der //web.xml// von {{formcycle case="dat"/}} ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) oder auch in der globalen //web.xml// des Tomcat-Servers ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) kann der Modus des zu verwendenden Session-Tracking Modus hinterlegt werden. Standardmäßig gibt es seitens {{formcycle case="dat"/}} hierfür keine Festlegung, sodass hier sowohl die Verwendung von Cookies oder das Übertragen der Session-ID innerhalb der URL möglich sind. Zweiteres ist ein Rückfall falls z.B. der Browser des Benutzers keine Cookies zulässt. Da eine solche URL jedoch bei unachtsamem Gebrauch in falsche Hände geraten kann und man so ggf. die Sitzung eines angemeldeten Benutzers übernehmen könnte, empfiehlt es sich wenn möglich ausschließlich das Session-Tracking per Cookie zu verwenden. Konfiguriert wird das Verhalten durch das Auskommentieren bzw. Einfügen der gewünschten Mechanismen. Innerhalb der {{formcycle case="dat"/}}-//web.xml// sind standardmäßig beide Werte auskommentiert was zu dem beschriebenen Standard-Verhalten führt. Ein Session-Tracking ausschließlich per Cookie würde demnach wie folgt aussehen:
134 +Innerhalb der //web.xml// von {{formcycle/}} ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) oder auch in der globalen //web.xml// des Tomcat-Servers ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) kann der Modus des zu verwendenden Session-Tracking Modus hinterlegt werden. Standardmäßig gibt es seitens {{formcycle/}} hierfür keine Festlegung, sodass hier sowohl die Verwendung von Cookies oder das Übertragen der Session-ID innerhalb der URL möglich sind. Zweiteres ist ein Rückfall falls z.B. der Browser des Benutzers keine Cookies zulässt. Da eine solche URL jedoch bei unachtsamem Gebrauch in falsche Hände geraten kann und man so ggf. die Sitzung eines angemeldeten Benutzers übernehmen könnte, empfiehlt es sich wenn möglich ausschließlich das Session-Tracking per Cookie zu verwenden. Konfiguriert wird das Verhalten durch das Auskommentieren bzw. Einfügen der gewünschten Mechanismen. Innerhalb der {{formcycle/}}-//web.xml// sind standardmäßig beide Werte auskommentiert was zu dem beschriebenen Standard-Verhalten führt. Ein Session-Tracking ausschließlich per Cookie würde demnach wie folgt aussehen:
135 135  
136 136  {{code language="xml"}}
137 137  <session-config>
... ... @@ -145,7 +145,7 @@
145 145  
146 146  == Cookie-Konfiguration ==
147 147  
148 -Innerhalb der Session-Konfiguration können sowohl in der globalen Tomcat-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) als auch innerhalb der {{formcycle case="dat"/}}-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) Einstellungen bezüglich des verwendeten Session-Cookies getroffen werden. {{formcycle case="dat"/}} setzt hier standardmäßig bereits den Wert //http-only// was dazu führt, dass der Cookie lediglich innerhalb des Browsers benutzt werden kann. Zusätzlich besteht die Möglichkeit das Cookie auf eine feste Domain (//domain//) und Pfad (//path//) zu binden und auch einen eigenen Namen (//name//) sowie die Gültigkeit (//max-age//) festzulegen. Standardmäßig sind Anpassungen dieser Einstellungen nicht nötig. Relevanter ist jedoch die Option //secure//. Ist diese vorhanden und hat den Wert //true//, werden Cookies lediglich bei der Kommunikation über HTTPS übertragen. Sollte die Anwendung oder der ganze Server ausschließlich über HTTPS bereitgestellt werden, ist es aus Gründen der Sicherheit empfohlen diesen Wert zu setzen. Innerhalb der {{formcycle case="dat"/}}-//web.xml// würde dies wie folgt aussehen:
148 +Innerhalb der Session-Konfiguration können sowohl in der globalen Tomcat-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/conf/web.xml{{/code}}) als auch innerhalb der {{formcycle/}}-//web.xml// ({{code language="none"}}TOMCAT_VERZEICHNIS/webapps/formcycle/WEB-INF/web.xml{{/code}}) Einstellungen bezüglich des verwendeten Session-Cookies getroffen werden. {{formcycle/}} setzt hier standardmäßig bereits den Wert //http-only// was dazu führt, dass der Cookie lediglich innerhalb des Browsers benutzt werden kann. Zusätzlich besteht die Möglichkeit das Cookie auf eine feste Domain (//domain//) und Pfad (//path//) zu binden und auch einen eigenen Namen (//name//) sowie die Gültigkeit (//max-age//) festzulegen. Standardmäßig sind Anpassungen dieser Einstellungen nicht nötig. Relevanter ist jedoch die Option //secure//. Ist diese vorhanden und hat den Wert //true//, werden Cookies lediglich bei der Kommunikation über HTTPS übertragen. Sollte die Anwendung oder der ganze Server ausschließlich über HTTPS bereitgestellt werden, ist es aus Gründen der Sicherheit empfohlen diesen Wert zu setzen. Innerhalb der {{formcycle/}}-//web.xml// würde dies wie folgt aussehen:
149 149  
150 150  {{code language="xml"}}
151 151  <session-config>