9

不应该使会话无效导致request.getSession(false)返回 null 吗?在我的注销 servlet 中,我调用

session.invalidate();

在我的登录状态过滤器中我调用

request.getSession(false);

对 getSession(false) 的调用永远不会返回 null,但与返回的会话对象关联的所有属性都是 null。我目前通过搜索空属性来检测用户是否已注销,但这似乎不正确。

4

2 回答 2

10

我目前通过搜索空属性来检测用户是否已注销

这也是正常的做法。要检查用户是否登录,您当然应该检查 servletcontainer 是否已创建会话。这根本不代表登录用户。

登录时,只需将用户模型对象放在会话范围内,无需检查容器是否为您创建了会话。换句话说,只需使用getSession()不带布尔参数的容器,以便容器在必要时自动创建,此时无论如何您都需要会话:

@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");
    User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user);
        response.sendRedirect(request.getContextPath() + "/home");
    } else {
        request.setAttribute("message", "Unknown login. Please retry.");
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response);
    }
}

在访问过滤时,只需检查代表登录用户的会话属性是否存在,您仅getSession(false)在此处使用以避免不必要的会话创建,否则例如搜索机器人会触发完全不必要的会话创建:

@Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    HttpSession session = request.getSession(false);
    User user = (session != null) ? (User) session.getAttribute("user") : null;
    String loginURL = request.getContextPath() + "/login"; 

    if (user == null && !request.getRequestURI().equals(loginURL)) {       
        response.sendRedirect(loginURL);
    } else {
        chain.doFilter(request, response);
    }
}

在注销时,请确保在无效后发送重定向,因为当前会话在转发的响应中仍然可用。

@Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    request.getSession().invalidate();
    response.sendRedirect(request.getContextPath() + "/login");
}
于 2013-01-28T12:35:53.540 回答
2

对于您旅行的每个 servlet 或 jsp,您应该调用

request.getSession(false);

除了您创建会话的第一页之外

request.getSession(true);

如果你不打电话

request.getSession(false);

那么会话不会进行到该页面,所以在你打电话之前

session.invalidate();

确保您通过调用继续会话到该页面

request.getSession(false);
于 2013-01-28T07:52:21.997 回答