【Session】关于在用户退出登录的时候清除相关session信息

最新推荐文章于 2022-03-28 16:54:27 发布
最新推荐文章于 2022-03-28 16:54:27 发布
阅读量2.3w 收藏 18
点赞数 3
分类专栏: 【WEB开发】Spring、Mybatis框架
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Carson_Chu/article/details/104017715
版权

在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息。清除session信息主要有两种方式,一种是遍历的清除session中的所有属性,另一种是直接设置session失效,两种方式都要在退出的接口中实现,附代码:

		   HttpSession session = request.getSession();
           /* 清除session的方案一 */
           Enumeration attributeNames = request.getSession().getAttributeNames();
           while (attributeNames.hasMoreElements()) {
               session.removeAttribute(attributeNames.nextElement().toString());
           }
           /* 清除session的方案二 */
           session.invalidate();

到这里好像结束了,因为session已经被正确的清除。但是设想一种场景,当用户点击退出的时候,这里记录请求为request1,调用退出接口并清除了相关的session,但是如果用户此刻复制了目标路径,新建了一个窗口,回车进入,此时其实是另一个请求request2了,就是说上一步清除的session信息其实是request1,而request2请求将能正常登入系统。那么应该怎么做呢?这里有两种方案,一是利用Redis,二是采用ThreadLocal

Redis解决方案

思路:在Redis为每个用户登录的用户名维护一条记录,一定要设置过期时间,一般一个小时。用户每次登录的时候,通过通过拦截器从缓存中查询用户名,如果没有命中,则认为用户未登录过或者登录信息已经失效,引导用户重新登录,用户正确登录之后通过setnx()方法将用户名插入缓存。用户每次点击退出时,清除本次请求的session信息,并同时将缓存中记录用户名的key同步的删除。

Tips:
setnx()也被经常用作分布式锁,具体可参看博客:
【分布式锁】并发场景下的数据插入

接下来附上利用Redis维护、删除用户登录信息的部分代码:

	/* 缓存里记录用户名的key */
	private static final String USERNAME = "username_";
    public ModelAndView login(HttpServletRequest request,
                              @RequestParam(value = "username", required = true) String username,
                              @RequestParam(value = "password", required = true) String password) {
        ……
        String key = USERNAME + username;
        /* 把用户信息设置进缓存并设置过期时间 */
        redisCacheService.setnx(key, username);
        redisCacheService.expire(key, 60 * 60);
        ……
    }

    public ModelAndView logout(HttpServletRequest request, @ApiParam("用户名") @RequestParam(value = "username", required = true) String username) {
        ……
        HttpSession session = request.getSession();
        session.invalidate();
        /* 清除本地缓存 */
        String key = USERNAME + username;
        redisCacheService.remove(key);
        ……
    }

然后在登录拦截器中设置每次从request中获取到用户信息之后,再和Redis中的去比较,如果缓存中没有命中,则视本次请求中的用户登录信息已经过期,需要跳转到登录页面。

import org.apache.commons.lang3.StringUtils;
public class LoginInterceptor implements HandlerInterceptor {
	/* 缓存里记录用户名的key */
    private static final String USERNAME = "username_";

	 @Override
    public boolean preHandle(HttpServletRequest servletRequest, HttpServletResponse servletResponse, Object o) throws Exception {
        servletRequest.setCharacterEncoding("UTF-8");
        servletResponse.setContentType("application/json;charset=utf-8");
        ServletOutputStream outputStream = servletResponse.getOutputStream();

        HttpSession session = servletRequest.getSession();
        Object userNameObject = session.getAttribute("userName");
        String userName = userNameObject != null ? userNameObject.toString() : null;
        if (userName == null) {
            servletResponse.setStatus(HttpServletResponse.SC_OK);
            String res="登录失败,未获取到用户登录信息~";
            outputStream.write(JsonUtils.toJson(res).getBytes("UTF-8"));
            return false;
        }
        /* 和本地缓存中的比较 */
        String key = USERNAME + userName;
        String value = (String) redisCacheService.get(key, String.class, new CacheCallable() {
            @Override
            public Object getCacheValue() throws Exception {
                return null;
            }
        });
        /* 若未命中缓存,说明用户登录信息已失效,引导用户重新登录 */
        if (StringUtils.isBlank(value)) {
            return false;
        }
        return true;
    }
}

ThreadLocal解决方案

待补充。

参考阅读
如何解决每次向后台发起请求时判断用户是否处于登录状态?
少侠露飞
关注
  • 3
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
退出登录时清空session中的数据
M_emory_的博客
08-21 5382
退出登录时如何清空session中的数据
跨域session清除问题 平台退出登录以后子系统清除session的方案
scujinxiang的专栏
08-29 1479
最近被外地的同事问到一个问题:平台网站退出登录以后,无法清除子系统的session,大致过程是这样的,点击平台上的功能按钮进入子系统,模拟登录,成功后可以使用子系统的所有功能。平台点击退出的时候平台服务器发送一个post请求,请求子系统清除session。 听了问题以后首先考虑的是跨域导致找不到登录时候保存的session。 解决思路:将问题拆分, ...
Session实现登录和注销
One of thre_tigers的博客
06-29 3944
一. 登录和注销流程 用户在请求登录之后判断是否合法,如果合法说明登录成功,并且将其加入到session集合中;用户登录之后想要注销则可以将信息Session中删除。 index主页 写了一个简单的登录页面,用表单提交信息给后端: <!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "https://www.w3.org/TR/html4/loose.dtd"> <html> <head>
session清除的一些方法
青鸟飞鱼
07-03 9887
session清除的一些方法   Java中HttpSession的invalidate(),invalidate()是HttpSession中的 clear是hibernate,struts2中的Session中的 Abandon是jsp中&lt;% Session.Abandon Session("MyName") = "Mary" Reponse.Write(Session("MyNam...
ASP.NET系统退出(移除Session清除浏览器缓存)
weixin_30521161的博客
06-14 1267
一、在退出时移除Session,首先在登录时要记录登录信息 Session["id"] = user.id.ToString(); Session["name"] = user.name.ToString(); Session["pwd"] = user.password.ToString(); Session["time"] = user.LoginTime.ToStri...
session用户名密码实现用户登录退出
11-27
特别是在用户登录退出的过程中,Session扮演了关键角色。本篇文章将详细介绍如何利用Session存储用户名和密码,以实现用户登录退出功能。 首先,我们需要理解Session的基本概念。Session是在服务器端存储的一种...
php中session退出登陆问题
12-19
这将清除Session相关的所有数据,并且理论上应该删除服务器上的Session文件。但需要注意的是,`session_destroy()`并不会自动关闭Session,因此通常还需要在调用此函数后立即调用`session_write_close()`来确保...
退出页面自动清除session技巧
08-01
退出页面自动清除session技巧
JSP实现用户登录、注册和退出功能
10-22
6. **退出功能**:用户退出功能通常通过点击“注销”按钮实现,这会清除用户的会话信息,将他们重定向回登录页面。在JSP中,这可以通过调用`session.invalidate()`方法来完成,该方法会终止当前用户会话。 7. **...
JavaWeb基于Session实现的用户登陆注销方法示例
08-28
JavaWeb中的Session是一种重要的会话跟踪机制,常用于在用户登录之后存储用户的认证信息,确保用户在多个页面间切换时能保持登录状态。本篇文章将详细介绍如何基于Session实现用户登录和注销功能,并对比Cookie和...
springcloud集成Oauth2权限项目-退出登录清除redis中的access_token(十四)
穷水叮咚的博客
10-30 1万+
用户退出的时候,清除redis中token,其实很简单 我直接在oauth服务中新建一个接口 @RestController @RequestMapping("/authentication") public class UserController { @Autowired @Qualifier("consumerTokenServices") privat...
关于退出系统时,清除session
热门推荐
qq_23476319的博客
03-29 6万+
在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息。         清除session对象内容的主要方法如下:         (1)、removeAttribute()方法。该方法是用来删除session对象中保存的指定属性信息。         例如:sessi
JSP中退出登录销毁Session
坐看云起云落。
11-17 2万+
方法一:销毁Session对象使用session.invalidate();方法,这样可以销毁当前浏览器的Session对象及其中存放的属性; 方法二:因为判断用户是否登录是将某个属性通过session.setAttribute(fieldName);方法放入session中,然后在其他地方看能够取出。所以可以使用session.removeAttribute(fieldName);方法清除该属性
项目---session获取用户退出操作
grow_的博客
03-28 791
session获取 [[${session.loginUser}]] <p><span>下午好!</span><span style="color: #fff21b"> [[${session.loginUser}]]</span> , 欢迎你!</p> 退出: 1.页面 <li><a th:href="@{/logout}" href="login.html">退出系统</a&g..
Session释放时间设置
炉火纯青
10-07 1573
<br />Session 如果没有手动设置的话,默认的是20分钟释放,但可以根据自己根究需要Session.Timeout=分钟数设置时间,<br />如:Session.Timeout=10  如此就是10分钟以后过期,时间应该是以分钟为单位的。在关闭页面或达到时间时session会自动释放
SSM 中关于退出系统时,清除session
悄悄quite
06-26 3160
在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息清除session对象内容的主要方法如下: (1)、removeAttribute()方法。该方法是用来删除session对象中保存的指定属性信息。 例如:session.setAttribute(“name”, “iv...
安全退出,清空Session或Cookie
weixin_30433075的博客
11-29 3514
概览: 网站中点击退出,如果仅仅是重定向到登录/出页面,此时在浏览器地址栏中输入登录后的某个页面地址如主页,你会发现不用登录就能访问。这种所谓的退出并不是安全的。 那么怎样做到安全退出呢? 那就是点击退出后清空相应的Session或Cookie。 清空Session的代码: Session.Clear(); Session.Abandon(); 清除Cookie的正确代码(假...
浏览器关闭后,Session就销毁了吗?
hetiedan123的博客
10-18 463
话题: 当浏览器关闭后,Session就销毁了吗? 答案: 存在于浏览器上的唯一标识符JSESSIONID(sessionid)消失了,但是服务器中存放的sessionid并没有立马销毁。 分析: 我们知道Session是JSP的九大内置对象(也叫隐含对象)中的一个,它的作用是可以保存当前用户的状态信息,初学它的时候,认为Session的生命周期是从打开...
vue 退出登录清除session
最新发布
07-08
在Vue中,退出登录清除session可以通过以下步骤完成: 1. 在用户点击退出登录按钮时,触发一个方法或事件。 2. 在该方法中,发送一个请求到后端API,告知服务器用户退出登录。 3. 后端服务器接收到请求后,销毁用户session清除相关session数据。 4. 前端接收到后端的响应后,执行以下操作来清除session: - 使用Vue插件vue-cookies或vue-session等,通过删除或清空保存在cookie或本地存储中的session数据。 - 如果没有使用插件,可以使用原生的JavaScript方法来删除cookie或清空本地存储中的session数据。 以下是一个示例代码: ```javascript // 在某个组件的方法中触发退出登录操作 methods: { logout() { // 发送退出登录请求到后端API axios.post('/api/logout') .then(response => { // 清除session数据 this.clearSession(); }) .catch(error => { console.error(error); }); }, clearSession() { // 使用vue-cookies插件删除cookie this.$cookies.remove('session'); // 或者使用原生JavaScript删除cookie // document.cookie = 'session=; expires=Thu, 01 Jan 1970 00:00:00 UTC; path=/;'; // 或者清空本地存储中的session数据 // localStorage.removeItem('session'); } } ``` 这样,在用户点击退出登录按钮时,会发送请求给后端API,后端销毁session,并通过前端清除cookie或本地存储中的session数据,达到清除session的目的。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值