Запретить автоматическое создание сеанса
Мы используем Vaadin 14 на Tomcat9. Сессия сразу же создается в Tomcat, как только вызывается страница входа в наше приложение. Если здесь было создано много сеансов (например, тест на проникновение), Tomcat занимает очень много времени, чтобы удалить их. Загрузка ЦП также возрастает до 100%. Можно ли предотвратить автоматическое создание сеанса и создавать его только после входа в систему?
Мы сократили таймаут сессии в Tomcat, чтобы было не так много открытых сессий.
Да. Страница входа — это представление Vaadin. Если вы попытаетесь получить доступ к любому представлению, пользователь будет перенаправлен на страницу входа.
Ваадину нужен сеанс. Нет никакого способа обойти это. Вам нужно будет извлечь свой логин, например, в. Форма.
Ответы 1
Вы не можете использовать Vaadin (под своим логином) и без сессий. Ваадин хранит состояние пользовательского интерфейса в сеансе, и его невозможно обойти:
Сеанс пользователя начинается, когда пользователь впервые делает запрос к сервлету Vaadin. открыв URL-адрес определенного пользовательского интерфейса. Все запросы к серверу, принадлежащие конкретный класс пользовательского интерфейса обрабатывается классом VaadinServlet. Когда новый клиент подключается, он создает новый пользовательский сеанс, представленный экземпляром VaadinSession. Сеансы отслеживаются с помощью файлов cookie, хранящихся в браузере. https://vaadin.com/docs/latest/advanced/application-lifecycle/#application.lifecycle.session
Таким образом, вы должны предотвратить это и не отправлять своих пользователей прямо в Приложение Vaadin (первое). В вашем случае вы можете предоставить форму входа или какой-нибудь привратник SSO для «защиты» ваших ресурсов.
«Вызывается страница входа в наше приложение». Является ли страница входа представлением Vaadin?