Tomcat5不保留SESSION.ser的具体配置

    在默认情况下，Tomcat5 下发布的web应用程序，如果涉及到session的操作，在Tomcat5关闭或者undeploy的时候，将会在work目录下相应的路径下（<%CATALINA_HOME%>/work/Catalina/honstname/applicatonname/SESSIONS.ser）创建SESSION.ser文件存储该webapp的session数据。在session超时时间内Tomcat重启或re-deploy，将会加载该文件中的数据，恢复用户原来的session运行环境。

    在一些安全敏感的应用中，这可能会带来一些隐患。Tomcat发行版本的server.xml里并没有一个直接的选项来禁止保留session数据。但根据Tomcat5配置参考文档中的说明，Tomcat还提供了另一种session管理机制。具体配置选项请参考该文当，具体操作如下：

    创建一个与webapps同名的xml文件，比如webapps的Context Path为test，那么文件名即为test.xml。文件的内容如下：

    <Context path = '/test' docBase = 'test' debug = '0' privileged = 'true'>

        <Manager className = 'org.apache.catalina.session.PersistentManager' saveOnRestart = 'false'>

            <Store className = "org.apache.catalina.session.FileStore"/>

        </Manager>

    </Context>

    很明显，saveOnRestart参数设置为false即不保留session。该Manager还有很多熟性，具体参见文档。注意，虽然是不保存文件，但子元素<Store> 必不可少。
    将文件放到Tomcat5安装目录/conf/Catalina/localhost/路径下，重启生效。

    如果 Tomcat5 是集成于 Jboss 中(Jboss3.2.5+ 集成Tomcat5.0.x)  ，那么配置稍有不同，将 test.xml 更名为context.xml，放置到 webapp 的 WEB-INF 目录下即可。