那些遇到过的问题

N分钟后绝对会话到期,即使用户正在使用系统

And*_*kyy 4 java grails tomcat spring-security session-timeout

我正在使用Spring Security开发Grails Web应用程序。我有一个要求,即使会话处于活动状态,也必须在固定的时间后强制会话过期。

我想我可以添加过滤器并检查每个请求的上次登录时间:

if (CURRENT_TIME - LAST_LOGIN > ABSOLUTE_SESSIO EXPIRATION) then FORCE LOGOUT
Run Code Online (Sandbox Code Playgroud)

但是问题在于,直到用户发出请求,会话仍在服务器上处于活动状态。

即使用户正在使用系统,这是否有可能在N分钟后立即破坏会话?我正在研究tomcat会话管理以及spring security如何处理它,但没有找到任何有用的信息。

有人可以指出我的例子吗?有人实施过类似的方法吗?

mrs*_*dge 5

[编辑:在特定的时间由登录时间决定终止会话的想法是使用任务调度程序(如Quartz)来调度通过会话作为参数传递的任务。然后,您可以计划它以调用session.invalidate()在特定时间点执行的作业。该任务将在登录时安排。]

这就是我要做的,但是并不会在您想要的特定时间终止会话。它依赖于用户发出请求。这并不是万无一失的方法,但是您可以让应用程序每分钟左右通过AJAX调用来轮询站点。

在用户会话上设置会话激活时间。然后为所有传入的请求添加一个筛选器到Web应用程序,以检查(激活时间+允许的时间)是否超过当前时间。如果不是,则调用session.invalidate();。

即登录

HttpSession session = request.getSession();
session.setAttribute( "activation-time", System.currentTimeMillis() );
Run Code Online (Sandbox Code Playgroud)

然后将过滤器添加到web.xml

<filter>
    <filter-name>SessionFilter</filter-name>
    <filter-class>com.something.SessionFilter</filter-class>
    <init-param>
        <param-name>max-period</param-name>
        <param-value>60000</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>SessionFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>
Run Code Online (Sandbox Code Playgroud)

过滤器将类似于...

package com.something;

import java.io.IOException;
import java.util.Date;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public class SessionFilter implements Filter {
    private long maxPeriod;

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpSession session = request.getSession( false );
        if ( session != null ) {
            long activated = (long) session.getAttribute( "activation-time" );
            if ( System.currentTimeMillis() > ( activated + maxPeriod ) ) {
                 session.invalidate();
            }
        }
        chain.doFilter(req, res);
    }

    public void init(FilterConfig config) throws ServletException {
        //Get init parameter
        if ( config.getInitParameter("max-period") == null ) {
             throw new IllegalStateException( "max-period must be provided" );
        }
        maxPeriod = new Long( config.getInitParameter("max-period") );
    }

    public void destroy() {
        //add code to release any resource
    }
}
Run Code Online (Sandbox Code Playgroud)

如果在会话无效时需要调用某些内容,则可以HttpSessionListener在web.xml中编写和配置。

  • 只是为了补充。Spring3.0+提供了开箱即用的计划,对于大多数用例来说应该足够了,您不必使用Quartz。更多[info](http://blog.springsource.org/2010/01/05/task-scheduling-simplifications-in-spring-3-0/) (2认同)

归档时间:

查看次数:

7349 次

最近记录:

13 年 前
如何获取Web应用程序中所有HttpSession对象的列表? 49
更多相关链接
相关归档
Maven"构建路径指定执行环境J2SE-1.5",即使我将其更改为1.7 60
如何在java中使用jmap分析堆转储 55
如何创建自己的java库(API)? 53
如何解密SHA-256加密字符串? 47
在 Spring Security 6 中使用两个或多个 SecurityFilterChains 无法正常工作,仅调用一个链 10
每个请求的Spring会话创建策略? 7
Spring - 从控制器调用custom-authentication-provider 6
在1.6 JVM上运行的Jetty无法运行在Java 1.6上编译的webapp 5
没有使用数据库身份验证为id"null"映射PasswordEncoder 3
utf-8网址问题 2
难疑归档
"INNER JOIN"和"OUTER JOIN"有什么区别? 4506
使用JavaScript获取当前网址? 2882
如何循环或枚举JavaScript对象? 2704
Make .gitignore会忽略除少数文件之外的所有内容 1531
在Bash中循环遍历一串字符串? 1371
你如何存放未跟踪的文件? 1287
将JavaScript字符串转换为全部小写? 1260
纯JavaScript相当于jQuery的$ .ready() - 如何在页面/ DOM准备就绪时调用函数 1244
适用于PDF文件的MIME媒体类型 1229
iOS 6上的Safari缓存$ .ajax结果吗? 1057