在做 Web Application 时,因为 Web Project 有 session 自动失效的问题,所以如何让用户登录一次系统就能长时间运行三个月,就是个问题。
后来,看到 session 失效的拦截器代码,就猜想能否通过拦截器来实现。
查资料发现可行:用户登录时将帐号密码存入cookie,cookie可以存储1年至更久,当session失效被拦截时,在拦截器内读取cookie 中的用户名和密码后再登录。(登录过程隐藏对用户不可见)。
在实践过程中遇到个问题: 在拦截器内重新实现登录过程(包括写session),此时写session是成功的,但是返回被拦截器拦截的 Action 方法内时,Action 内的方法读取的session却是空的。(2017-06-12 更新,出错原因是保存的sesion和读取的session分别是Strut2包装的session和JSP/Sevlert内置的session,导致读取为空,参见)
方法一:设置 session-timeout 参数值
最简单的办法是,在Java Web 中可通过设置 web.xml 中的 session-timeout 为 -1 即可实现 session 永不失效。
Java Web中有关 Session 失效的设置有三处:
1. 页面或者代码内通过 session.setMaxInactiveInterval
2. 项目的web.xml 中的 session-timeout (验证有效)
3. Tomcat 的 server.xml 中的 (该方法本文未验证,网上搜集)
defaultSessionTimeOut="3600" isWARExpanded="true"
isWARValidated="false" isInvokerEnabled="true"
isWorkDirPersistent="false"/>
4. Tomcat 的 web.xml 中的 (该方法本文未验证,网上搜集)
30
分别对应:
1. 当前会话生效
2. 整个Web应用有效
3. 不详
4. 不详
设置产生效果的优先顺序很显然是:1 -> 2 ,没有指明就是用默认设置。
另外: setMaxInactiveInterval的参数是秒,session-config当中配置的session-timeout是分钟。 设置session-timeout是永久有效。【setMaxInactiveInterval(-1)也是元永久有效(本人未测试)】。测试是否是永久有效很简单,只需要在本地测试(localhost)时,将本机的时间调整为几个月之后即可。
但在实际使用中并不理想,因为超出 tomcat 的默认是 30 分钟,如果修改 tomcat 默认值,会影响其他项目不说,也很容易遗忘,对今后产生莫名其妙的问题。
方法二:使用 Struts2 拦截器
原理:在使用了 Struts 框架的代码中,使用拦截器,测试Session 是否为空,若是空,利用 cookie 里藏的用户名和密码进行登录,并保存到 session 中。
代码:(本人亲测,实际使用)
1. 登录保存到 Struts2 包装的 session中(注意,前后session要对应)
根据项目需要,可决定是否加密。我示例未加密。
//你的登录方法内部//user 是登录成功后的用户对象
ActionContext.getContext().getSession().put("user", user);//创建或覆盖COOKIE
Cookie ckName = new Cookie("jsjgUserName", username);
Cookie ckPwd= new Cookie("jsjgUserPwd", password);
ckName.setMaxAge(365*24*60*60);
ckPwd.setMaxAge(365*24*60*60);
response.addCookie(ckName);
response.addCookie(ckPwd);
2. 拦截器代码
packagecom.tools;importjava.util.Map;importjavax.servlet.ServletContext;importjavax.servlet.http.Cookie;importjavax.servlet.http.HttpSession;importorg.apache.struts2.ServletActionContext;importorg.apache.struts2.StrutsStatics;importorg.springframework.context.ApplicationContext;importorg.springframework.web.context.support.WebApplicationContextUtils;importcom.opensymphony.xwork2.ActionInvocation;importcom.opensymphony.xwork2.interceptor.Interceptor;importcom.zhzx.class_entity.User;importcom.zhzx.service.UserService;
@SuppressWarnings("serial")public class MyInterceptor implementsInterceptor {public voiddestroy() {
}public voidinit() {
}public String intercept(ActionInvocation actionInvocation) throwsException {//确认Session是否过期
Map strutSession =actionInvocation.getInvocationContext().getSession();
Cookie[] cookies=ServletActionContext.getRequest().getCookies();
User us=(User) strutSession.get("user");
String userName= "";
String userPwd= "";if (us!=null&&!"".equals(us)) {returnactionInvocation.invoke();
}else{//从cookie得到登录账户
if(cookies != null){for(Cookie cookie:cookies){if(cookie.getName().equalsIgnoreCase("jsjgUserName")){
userName=cookie.getValue();
System.out.println(userName);
}else if(cookie.getName().equalsIgnoreCase("jsjgUserPwd")){
userPwd=cookie.getValue();
}
}//登录
if(userName != null && userPwd != null){//因项目使用了SSH,所以这里是获取Spring管理的bean
ServletContext context =(ServletContext) actionInvocation.getInvocationContext().get(StrutsStatics.SERVLET_CONTEXT);
ApplicationContext ctx=WebApplicationContextUtils.getWebApplicationContext(context);
UserService userService= (UserService)ctx.getBean("UserService");//是否注入成功
System.out.println(userService);//登录并放入Strtu2包装的session
User user=userService.Login(userName);if(user != null &&user.getPassword().toLowerCase().equals(userPwd.toLowerCase())){
strutSession.put("user", user);
}returnactionInvocation.invoke();
}
}return "timeout";
}
}
}
然后拦截器按照常规方法使用即可。拦截器可以看看 Struts in Action ,Struts实战之类的书及PDF,有详细的讲解和例子。
吐槽:Java是太庞杂了,框架多不说,使用起来也方法各样,一会儿流行配置文件,一会儿流行注解,一会SSH,一会SSM,一会Sping MVC。
我就想说这不都是自己折腾自己么,学习成本不是成本么,发明出这么多轮子,软件行业不还是加班。旧的软件项目不还是要维护。
Java体系真是自己折腾自己,真心无爱了。
我觉得框架只是工具,就像武侠世界里,真正的高手是用什么工具都可以杀人于无形,那管你是用很多人鄙视的 ASP.NET 还是自以为很牛逼的Java Web,
甲方和老板关心的无非是你做完了么,做的好看么,是不是?
程序员,工程师们还是消停点好,多关心下自己的健康和身边的人不好么?