javaWeb session失效时间设置
程序员文章站
2022-04-24 15:43:19
...
session失效时间设置
session 在tomcat重启后一般也不会失效,
关闭浏览器后,session失效,但服务器端的session不会立刻销毁,
而是存活一个session生命周期。
首先需要理解一下几点:
1、Http是无状态的,即对于每一次请求都是一个全新的请求,服务器不保存上一次请求的信息
2、Session是保存在服务端的,为什么后续请求会读取到session?因为请求会包含一个sessionId,该值存储在cookie中,服务器通过这个sessionId找到对应的session
3、cookie是有过期时间的,规则如下:
Cookie的Max-Age决定了Cookie的有效期,单位为秒
0:Cookie立即作废(如果原先浏览器已经保存了该Cookie,那么可以通过设置Max-Age为0使其失效)
<0:默认,表示只在浏览器内存中存活,一旦浏览器关闭则Cookie销毁,浏览器的max-age默认为-1
>0: 将Cookie持久化到硬盘上,有效期由Max-Age决定
综上所述:
sessionId是一个cookie,max-age默认为-1,即关闭浏览器后sessionId就会清空,
sessionId(cookie)清空后,自然就无法找到对应的session,所以session就失效了。
在一般系统中,也可能需要在session失效后做一些操作:
(1)控制用户数,当session失效后,系统的用户数减少一个等,控制用户数在一定范围内,确保系统的性能。
(2)控制一个用户多次登录,当session有效时,如果相同用户登录,就提示已经登录了,当session失效后,就可以不用提示,直接登录了。
那么如何在session失效后,进行一系列的操作呢?
这里就需要用到监听器了,即当session因为各种原因失效后,监听器就可以监听到,然后执行监听器中定义好的程序就可以了。
监听器类为: HttpSessionListener 类,有 sessionCreated 和sessionDestroyed 两个方法
自己可以继承这个类,然后分别实现。
sessionCreated指在session创建时执行的方法
sessionDestroyed指在session失效时执行的方法
如下:
把这个监听器在web.xml中声明就可以了:
上面是一个简单的利用session监听用户数的方法,在实际过程中,可能比这个复杂得多。
-
session失效时间设置
一、java代码 <!--优先级是最高的-->
<!--秒为单位,1800= 60*30 即30分种-->
request.getSession().setMaxInactiveInterval(1800);
二、web.xml
<session-config> <!--分钟为单位-->
<session-timeout>30</session-timeout>
</session-config>
三、web服务器resin.conf,tomcat,<!--优先级是最低的-->
<session-config> <!--分钟为单位-->
<session-timeout>30</session-timeout>
<enable-url-rewriting>false</enable-url-rewriting>
</session-config>
优先级: 1 > 2 > 3
session 在tomcat重启后一般也不会失效,
关闭浏览器后,session失效,但服务器端的session不会立刻销毁,
而是存活一个session生命周期。
引用
首先需要理解一下几点:
1、Http是无状态的,即对于每一次请求都是一个全新的请求,服务器不保存上一次请求的信息
2、Session是保存在服务端的,为什么后续请求会读取到session?因为请求会包含一个sessionId,该值存储在cookie中,服务器通过这个sessionId找到对应的session
3、cookie是有过期时间的,规则如下:
Cookie的Max-Age决定了Cookie的有效期,单位为秒
0:Cookie立即作废(如果原先浏览器已经保存了该Cookie,那么可以通过设置Max-Age为0使其失效)
<0:默认,表示只在浏览器内存中存活,一旦浏览器关闭则Cookie销毁,浏览器的max-age默认为-1
>0: 将Cookie持久化到硬盘上,有效期由Max-Age决定
综上所述:
sessionId是一个cookie,max-age默认为-1,即关闭浏览器后sessionId就会清空,
sessionId(cookie)清空后,自然就无法找到对应的session,所以session就失效了。
在一般系统中,也可能需要在session失效后做一些操作:
(1)控制用户数,当session失效后,系统的用户数减少一个等,控制用户数在一定范围内,确保系统的性能。
(2)控制一个用户多次登录,当session有效时,如果相同用户登录,就提示已经登录了,当session失效后,就可以不用提示,直接登录了。
那么如何在session失效后,进行一系列的操作呢?
这里就需要用到监听器了,即当session因为各种原因失效后,监听器就可以监听到,然后执行监听器中定义好的程序就可以了。
监听器类为: HttpSessionListener 类,有 sessionCreated 和sessionDestroyed 两个方法
自己可以继承这个类,然后分别实现。
sessionCreated指在session创建时执行的方法
sessionDestroyed指在session失效时执行的方法
如下:
public class OnlineListener implements HttpSessionListener{
public void sessionCreated(HttpSessionEvent event) {
HttpSession ses = event.getSession();
String id=ses.getId()+ses.getCreationTime();
SummerConstant.UserMap.put(id, Boolean.TRUE); //添加用户
}
public void sessionDestroyed(HttpSessionEvent event) {
HttpSession ses = event.getSession();
String id=ses.getId()+ses.getCreationTime();
synchronized (this) {
SummerConstant.USERNUM--; //用户数减一
SummerConstant.UserMap.remove(id); //从用户组中移除掉,用户组为一个map
}
}
}
把这个监听器在web.xml中声明就可以了:
<listener>
<listener-class>com.demo.system.listener.OnlineListener</listener-class>
</listener>
上面是一个简单的利用session监听用户数的方法,在实际过程中,可能比这个复杂得多。
-