JSF Session-Kolision

fsicher · 6. Aug 2011

Hallo allerseits

Ich habe in einer Anwendung (realisiert mit JSF) zwei unterschiedliche User-Typen: Admin und DefaultUser. Der zweite hat nur eingeschränkte Rechte und kann nur einige wenige Aktionen durchführen. Die Anwendung funktioniert korrekt, solange man nicht auf die Idee kommt, in einem Browser (getestet mit Firefox und Opera) eine zweite Anmeldung vorzunehmen.

1. Ich melde mich als DefaultUser in Firefox und führe eine Aktion, nach der ich das Hauptmenu aufrufen kann
2. Ich öffne ein zweites Tab und melde mich als Administrator.
3. Ich gehe zurück zum ersten Tab und kehre zum Hauptmenu zurück: anstatt das Hauptmenu für DefaultUser sehe ich das Hauptmenu des Admins.

Wenn die Reihenfolge der Anmeldung anders wäre, würde ich als Admin das Menü des DefaultUsers sehen (weniger als erwartet). Das habe ich auch dann, wenn ich eine neue Browser-Instanz starte (getestet mit Firefox).

Ist das wirklich so, dass der Browser die zwei Sessions nicht unterscheidet (kann mir nicht vorstellen)? Oder, liegt der Hund irgendwo in meinem Code begraben?

ch werwalte eine UserBean mit @SessionScoped und hole mir aus dieser Bean die Information darüber, ob der angemeldete Benutzer der Admin oder DefaultUser ist. Eine UserBean mit @SessionScoped dürfte (müsste) pro Session eindeutig sein. Oder, sehe ich da etwas falsch?

Danke.

maki · 6. Aug 2011

Ist das wirklich so, dass der Browser die zwei Sessions nicht unterscheidet (kann mir nicht vorstellen)?

Ja, das ist wirklich so (auch so gemeint, kein Fehler).
Cookies (und damit Sessions) gelten pro Server.

Angeblich sollen die neueren Internet Explorer damit zurechtkommen.
Zwei komplett unabhängige FF Instanzen solten das auch können (also keine Tabs und kein Strg+N).

fsicher · 6. Aug 2011

Vielen Dank.

bronks · 8. Aug 2011

maki hat gesagt.:
... Angeblich sollen die neueren Internet Explorer damit zurechtkommen.
Zwei komplett unabhängige FF Instanzen solten das auch können (also keine Tabs und kein Strg+N).

Leider, leider, leider ... ... beides nicht. Der MSIE vor Version 8 konnte das. Ab incl. Version 8 teilen sich alle Fenster des MSIE eine Session. Beim FF ist es leider schon seit immer so.

Das einzige was hilft ist, unterschiedliche Browser nebeinandander zu benutzen.

	Titel	Forum	Antworten	Datum
I	Gleiche Session von EJB Container in JSF Container verwenden?	Web Tier	21	12. Feb 2021
R	Session löschen	Web Tier	3	22. Mai 2019
J	Session ist nach Klick auf Zurück-Button wieder aktiv	Web Tier	3	12. Jan 2019
	Servlet Bei jedem Request wird eine neue Session erstellt.	Web Tier	6	12. Dez 2017
J	Session Servlet - JavaScript	Web Tier	6	16. Jun 2015
M	Session closed - und nun?	Web Tier	1	6. Aug 2014
F	JSF synchronized(session) Frage ?	Web Tier	1	14. Mai 2014
F	JSF p:selectOneMenu Session	Web Tier	10	18. Okt 2012
T	JSF Problem wenn Session abgelaufen ist	Web Tier	6	27. Sep 2012
Q	JSF bei Session-Timeout Weiterleitung auf spezielle Login-Seite	Web Tier	15	28. Aug 2012
D	JSF Überprüfen der Session ID in JSF und JAVA	Web Tier	9	23. Aug 2012
R	Servlet Resource laden für SMTP - Session	Web Tier	4	26. Apr 2012
B	JSF Mojarra 2.1.5: java.lang.IllegalStateException: Cannot create a session after the response has been	Web Tier	7	2. Feb 2012
R	JSF Session Handling	Web Tier	3	10. Nov 2011
X	JSP Auslesen der Daten einer Session	Web Tier	3	27. Okt 2011
X	Managed Bean Scope zwischen Request und Session gesucht	Web Tier	6	20. Okt 2011
	JSP Session verloren bei DNS Servernamen & IE	Web Tier	6	25. Aug 2011
C	session trackung auf einfacher web-site	Web Tier	17	11. Aug 2011
R	Zugriff auf Session direkt auf JSF-Seite	Web Tier	2	4. Aug 2011
H	JSF Session Initialisierung	Web Tier	2	15. Jul 2011
E	JSP Browser Tab Session	Web Tier	7	3. Mai 2011
F	Session Tutorial	Web Tier	5	2. Mrz 2011
T	JSP Session Login - Sicherheit	Web Tier	4	24. Feb 2011
J	Loginbereich mit Session und Datenbank	Web Tier	5	4. Feb 2011
M	2 Cookies in der session (cocoon 2.2)	Web Tier	4	27. Jan 2011
F	Richtiges Session Management mit Servlets	Web Tier	4	21. Jan 2011
P	JSP: Liste in Bean über Session aufbauen	Web Tier	6	11. Dez 2010
7	Struts+AJAX- Session-Handling?	Web Tier	2	30. Sep 2010
B	JSF session bean mit worker thread updaten	Web Tier	7	27. Mai 2010
J	Crash bei session timeout	Web Tier	3	15. Jan 2010
M	session Speicherort - ID ändern	Web Tier	8	26. Nov 2009
V	ANFÄNGER : eigene Session	Web Tier	3	2. Sep 2009
V	DatenbankConnection an Session hängen	Web Tier	4	10. Aug 2009
P	session.removeAttribute	Web Tier	3	26. Mai 2009
K	Orientierungslosigkeit: Webservice+Ajax(echo2)+Session-Management	Web Tier	4	13. Apr 2009
O	struts - Gültigkeit einer Action an Session binden?!	Web Tier	4	11. Apr 2009
D	JSF: Best Practice "Session invalidate nach Schließen des Browsers"?	Web Tier	3	18. Mrz 2009
T	Unbegrenzte Session	Web Tier	14	11. Dez 2008
D	tapestry 5 session	Web Tier	2	6. Dez 2008
J	Struts 2 session ID auslesen?	Web Tier	5	30. Sep 2008
M	[J2EE] Session-Save Static-Objects?	Web Tier	6	25. Sep 2008
S	Problem mit Session - Übergabe von Kontext zu Kontext	Web Tier	2	7. Sep 2008
F	JSF: Beans in Session oder Request?	Web Tier	4	7. Aug 2008
H	JSF - Bean (scope session) - Verfallsdatum?	Web Tier	3	12. Jul 2008
T	Problem bei Session-Timeout	Web Tier	3	16. Mai 2008
M	JSF refresh vs. session scope	Web Tier	9	13. Mai 2008
G	Session in Servlet Starten und mit JSTL auslesen	Web Tier	2	9. Mai 2008
G	Servlet - Von Parametern umstellen auf Session	Web Tier	8	16. Apr 2008
G	jsf session erstellen	Web Tier	10	15. Apr 2008
	session attribut in servlets und jsps	Web Tier	11	7. Apr 2008
M	JSF session.invalidate() klappt nicht	Web Tier	3	13. Mrz 2008
G	Session.invalide() funktioniert nicht richtig	Web Tier	2	10. Mrz 2008

JSF Session-Kolision

fsicher

Bekanntes Mitglied

maki

Gast

fsicher

Bekanntes Mitglied

bronks

Top Contributor

Ähnliche Java Themen

Aktuelle Jobs

Neue Themen