4

我正在开发一个带有 spring 安全性的 grails Web 应用程序。即使会话处于活动状态,我也需要在固定的时间后强制会话到期。

我想我可以添加过滤器并检查每个请求的最后登录时间:

if (CURRENT_TIME - LAST_LOGIN > ABSOLUTE_SESSIO EXPIRATION) then FORCE LOGOUT

但问题是会话在服务器上仍然处于活动状态,直到用户发出请求。

即使用户正在使用系统,这是否可以在 N 分钟后立即销毁会话?我正在研究tomcat会话管理以及spring security如何处理它,但没有找到任何有用的信息。

有人可以指出我的一些例子吗?有没有人实现过类似的东西?

4

1 回答 1

5

[编辑:在登录时间决定的特定时间终止会话的想法是使用Quartz之类的任务调度程序来调度作为参数传递会话的任务。然后,您可以安排它调用session.invalidate()在特定时间点执行的作业。该任务将在登录时安排。]

我就是这样做的,但它不会在您想要的特定时间终止会话。它依赖于用户发出请求。这不是万无一失的,但您可以让应用程序每分钟左右通过 AJAX 调用轮询站点。

在用户会话上设置会话激活时间。然后为 Web 应用程序添加一个过滤器,用于检查(激活周期 + 允许的时间)是否超过当前时间的所有传入请求。如果没有,则调用 session.invalidate();

即登录时

HttpSession session = request.getSession();
session.setAttribute( "activation-time", System.currentTimeMillis() );

然后在 web.xml 中添加一个过滤器

<filter>
    <filter-name>SessionFilter</filter-name>
    <filter-class>com.something.SessionFilter</filter-class>
    <init-param>
        <param-name>max-period</param-name>
        <param-value>60000</param-value>
    </init-param>
</filter>
<filter-mapping>
    <filter-name>SessionFilter</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

过滤器将类似于...

package com.something;

import java.io.IOException;
import java.util.Date;

import javax.servlet.Filter;
import javax.servlet.FilterChain;
import javax.servlet.FilterConfig;
import javax.servlet.ServletException;
import javax.servlet.ServletRequest;
import javax.servlet.ServletResponse;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpSession;

public class SessionFilter implements Filter {
    private long maxPeriod;

    public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) req;
        HttpSession session = request.getSession( false );
        if ( session != null ) {
            long activated = (long) session.getAttribute( "activation-time" );
            if ( System.currentTimeMillis() > ( activated + maxPeriod ) ) {
                 session.invalidate();
            }
        }
        chain.doFilter(req, res);
    }

    public void init(FilterConfig config) throws ServletException {
        //Get init parameter
        if ( config.getInitParameter("max-period") == null ) {
             throw new IllegalStateException( "max-period must be provided" );
        }
        maxPeriod = new Long( config.getInitParameter("max-period") );
    }

    public void destroy() {
        //add code to release any resource
    }
}

如果您需要在会话无效时调用某些内容,那么您也可以HttpSessionListener在 web.xml 中编写和配置。

于 2012-10-18T20:58:13.553 回答