一般的问题。我有一个在专用网络上运行的Web应用程序,仅供员工使用。应用程序在三个不同的服务器上运行,但由于某种原因,只要工作负载管理导致打开的会话跳转到其他服务器,就会抛出视图状态错误。将视图状态保存方法更改为客户端并没有解决问题,但除了禁用myfaces核心加密之外,这样做了,我认为这会影响保存状态加密。由于此应用程序在专用网络上运行,我想知道是否可以将视图状态保持为未加密状态?表单和提交不包含敏感数据,但是有登录。没有注册新用户,只注册登录,因为凭据来自不同的源,并且这是唯一的敏感数据。指导将非常感激!更多,更清楚,我想知道是否有人可以向我解释这是否是一个安全的事情,并给我一个原因,为什么它是安全的或不安全的。
如果使用MyFaces 2.3.x,则可以在使用服务器状态保存时安全地停用加密。甚至在公共场合。见:https://issues.apache.org/jira/browse/MYFACES-4133
但是,我不会为客户端状态保存关闭它。