问题标签 [expired-sessions]

我有一个使用 Laravel 4.2 和会话文件驱动程序的网络应用程序。它通过 https 协议运行，所有用户都存储在一个数据库中。我们收到很多关于用户被随机注销的报告，但我无法在我们的开发环境中重现该问题。我怀疑垃圾收集器，它会清理错误的会话文件还是什么？我们应该切换到数据库会话存储吗？

这是我们的一些会话配置：

我们php.ini的gc_maxlifetime设置为43200。

据我所知，服务器运行 debian 7，没有安装或配置负载平衡器或额外的会话管理器。debian 7 附带的就是使用的。

感谢您的帮助！

我在 spring boot 1.2.3 web 应用程序中使用 spring security 4.0.1（也使用 spring-session 1.0.1，但这与案例无关）。

我确实有一个私人区域和一个所有用户都可以访问的区域（“/about”、“/”、“/contact”……超过 20 页）。（这就像一个网上商店）

每当登录用户会话过期时，Spring 检测到无效会话并将用户重定向到'.invalidSessionUrl("/session/error/invalid")'

但是，我只想在目标链接在私有区域内时被重定向，而不是在公共区域内。

我怎样才能避免呢？

谢谢。

这是我的（java）配置：（看到帖子后更新）

我怎样才能做到这一点？

非常感谢。

在 symfony2 中提交表单后，如何使页面过期？

有时我们的用户使用后退按钮并重新提交表单。如果表格已经提交，我想通知他们不要重新提交。

有时我会在网页上看到会话已过期（例如，当我进行网上银行业务时）。这到底应该在什么时候实施？在我的情况下使用它是否合适？

我使用弹簧安全 3.2 版。

我的注销选项有 invalidate-session="false"。

所以我不能使用会话监听器。

如何获得自动注销时间？

不要单击注销按钮。

Spring Security 有令牌监听器还是凭证监听器？

我在我的测试服务器上创建了一个完整的网站，然后将其移至客户端服务器。单击“忘记密码”选项后，我在电子邮件中获得了链接。当我单击该链接时，它会将我重定向到重置密码页面。现在，当我尝试重置密码时，它会给我一个错误“您的密码重置链接已过期”。我尝试使用新密码，它会显示“密码无效”的消息，并且它仍在使用旧密码。

我遇到这样的问题。

我的网络正常运行，直到我打开 2 个选项卡（在同一个浏览器中）。在这两个选项卡中，我登录到我的网站。之后，我在一个选项卡中注销，在另一个选项卡中，我调用了一个 ajax 请求，它返回到登录页面。我在该选项卡中再次登录，我的主页呈现所有内容、每个对话、每个元素，而无需调用它。

我正在为这个项目使用 spring、jsf 和 spring web 流。

将本教程应用到我的项目后，在我的本地主机上没有问题，但是当我部署到 plesk 上的 prod 服务器时，会话过期太快。大概不到5分钟，而且一直都是这样。

由于本教程使用 localStorage 而不是 cookie，我不确定是否应该检查 cookie 超时。

哦，另一方面，我的 Startup.Auth.cs 中有这个：

prod IIS 如何设置超时，我应该在我的 web.config 中做什么来覆盖这个超时？

当前会话存储在数据库表中。当然，它们有一个过期时间戳。我想知道，当会话达到其到期日期时，该记录是否也会从数据库中删除？我在 Yii 文档中找不到该特定信息。

我对 Yii 框架很陌生。我遇到了一个现有的 Yii 应用程序的问题。

那里有一个“忘记密码”功能。它的工作原理是，输入用户名和安全问题答案。如果两者都正确，系统将发送一个链接到用户的电子邮件以进行密码重置。下面是函数：

目前，此功能不会发送电子邮件。我做了一些故障排除，发现这Activity::log(22, null, $profile->id, -1);给了我一个错误。如果我对此行发表评论，那么它将发送带有密码重置链接的电子邮件，但它始终是一个过期的链接。下面是日志功能：

以下是检查到期限制的功能。

我不确定哪个部分以及如何修改。谁能告诉我怎么了？

我正在开发一个使用 Outlook 日历 REST API 的 Android 应用程序。我正在尝试保持同步并更新多个用户（会议室）的日历。

我的问题是：

1) 初始授权码在多长时间后过期？

2）而不是刷新令牌？

访问令牌在60 分钟后过期。如果刷新令牌在 6 小时、14 天或 90 天后过期，我无法获得。

3）后者是可配置的吗？我可以让它不过期吗？

`

更新：（来自https://msdn.microsoft.com/en-us/library/azure/dn645542.aspx）

“未提供刷新令牌的生命周期，并且根据策略设置和授权代码授予被 Azure AD 撤销的时间而有所不同。应用程序应该预期并处理新访问令牌请求失败的情况。在这种情况下，它应该返回请求新访问令牌的代码。”

还有：（来自http://blogs.msdn.com/b/exchangedev/archive/2014/03/25/using-oauth2-to-access-calendar-contact-and-mail-api-in-exchange-online -in-office-365.aspx) "刷新令牌没有指定的生命周期。通常，刷新令牌的生命周期相对较长。但是，在某些情况下，刷新令牌会过期、被撤销或缺少所需操作的足够权限。客户端应用程序需要期望和正确处理令牌颁发端点返回的错误。当您收到带有刷新令牌错误的响应时，丢弃当前刷新令牌并请求新的授权码或访问令牌。特别是在授权码授予流程中使用刷新令牌时，如果您收到带有interaction_required 或invalid_grant 错误代码的响应，请丢弃刷新令牌并请求新的授权代码。”

那么如何保证我的应用程序将始终让所有用户登录？

它将在夜间处于飞行模式，并且它也应该从崩溃中自动恢复。我可以在不以编程方式存储凭据的方式对用户进行身份验证的情况下解决问题吗？

谢谢