Vor kurzem hatten wir ein ernstes Problem damit, dass einem Benutzer Daten eines anderen Benutzers zur Verfügung gestellt wurden. Dieses Problem ist fast unmöglich zu reproduzieren.

Wir verwenden die Standardverwaltung für angemeldete Benutzer, die von Spring-security bereitgestellt wird, und wir sind sicher, dass das Problem nicht darin besteht, Benutzer in Instanzvariablen oder ähnlichen parallelen Elementen in unserer App zu speichern.

Wir bezweifeln wirklich, dass das Problem bei SpringSecurity oder Tomcat selbst liegt.

Unser Front-Server ist Apache httpd, der über einen Ajp-Connector (mod_jk) mit Tomcat verbunden ist. Es wird kein Lastenausgleich durchgeführt (httpd kümmert sich nur um SSL, einige URL-Änderungen und die Bereitstellung einiger PHP-Module).

Hier ist unser Setup:

## OS
OS Name:        Linux 
OS Version:     2.6.32-5-686
Architecture:   i386

## Apache httpd
Server version: Apache/2.2.16 (Debian)
Server built:   Sep  4 2011 20:27:42

## mod_jk
mod_jk/1.2.30 (installed via apt-get)

## JVM
JVM Version:    1.6.0_18-b18
JVM Vendor:     Sun Microsystems Inc.

## Tomcat
Server version: Apache Tomcat/6.0.28
Server built:   February 12 2011 1443

Wir beschuldigen httpd / mod_jk aus dieser Session-Verwechslung, sodass unsere einzige Lösung darin besteht, Apache httpd zu entfernen. Bevor wir diese beliebte und weit verbreitete Konfiguration verlassen, möchten wir wissen, ob jemand mit dem ähnlichen Problem konfrontiert ist.

Die einzigen ähnlichen Probleme, die ich gefunden habe, waren im Lastausgleich oder in mod_jk.

Haben Sie jemals ein ähnliches Problem gehabt? Alle Hinweise, Ideen, Links oder Erfahrungen werden sehr geschätzt. Vielen Dank!