java session 永不过期_Java Web Application使Session永不失效(利用cookie隐藏登录)

最新推荐文章于 2022-12-07 19:14:08 发布
最新推荐文章于 2022-12-07 19:14:08 发布
阅读量2.1k 收藏 2
点赞数
文章标签: java session 永不过期
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_33755379/article/details/114082533
版权

在做 Web Application 时,因为 Web Project 有 session 自动失效的问题,所以如何让用户登录一次系统就能长时间运行三个月,就是个问题。

后来,看到 session 失效的拦截器代码,就猜想能否通过拦截器来实现。

查资料发现可行:用户登录时将帐号密码存入cookie,cookie可以存储1年至更久,当session失效被拦截时,在拦截器内读取cookie 中的用户名和密码后再登录。(登录过程隐藏对用户不可见)。

在实践过程中遇到个问题: 在拦截器内重新实现登录过程(包括写session),此时写session是成功的,但是返回被拦截器拦截的 Action 方法内时,Action 内的方法读取的session却是空的。(2017-06-12 更新,出错原因是保存的sesion和读取的session分别是Strut2包装的session和JSP/Sevlert内置的session,导致读取为空,参见)

方法一:设置 session-timeout 参数值

最简单的办法是,在Java Web 中可通过设置 web.xml 中的 session-timeout 为 -1 即可实现 session 永不失效。

Java Web中有关 Session 失效的设置有三处:

1. 页面或者代码内通过 session.setMaxInactiveInterval

2. 项目的web.xml 中的 session-timeout (验证有效)

3. Tomcat 的 server.xml 中的  (该方法本文未验证,网上搜集)

defaultSessionTimeOut="3600" isWARExpanded="true"

isWARValidated="false" isInvokerEnabled="true"

isWorkDirPersistent="false"/>

4. Tomcat 的 web.xml 中的 (该方法本文未验证,网上搜集)

30

分别对应:

1. 当前会话生效

2. 整个Web应用有效

3. 不详

4. 不详

设置产生效果的优先顺序很显然是:1 -> 2 ,没有指明就是用默认设置。

另外: setMaxInactiveInterval的参数是秒,session-config当中配置的session-timeout是分钟。  设置session-timeout是永久有效。【setMaxInactiveInterval(-1)也是元永久有效(本人未测试)】。测试是否是永久有效很简单,只需要在本地测试(localhost)时,将本机的时间调整为几个月之后即可。

但在实际使用中并不理想,因为超出 tomcat 的默认是 30 分钟,如果修改 tomcat 默认值,会影响其他项目不说,也很容易遗忘,对今后产生莫名其妙的问题。

方法二:使用 Struts2 拦截器

原理:在使用了 Struts 框架的代码中,使用拦截器,测试Session 是否为空,若是空,利用 cookie 里藏的用户名和密码进行登录,并保存到 session 中。

代码:(本人亲测,实际使用)

1. 登录保存到 Struts2 包装的 session中(注意,前后session要对应)

根据项目需要,可决定是否加密。我示例未加密。

//你的登录方法内部//user 是登录成功后的用户对象

ActionContext.getContext().getSession().put("user", user);//创建或覆盖COOKIE

Cookie ckName = new Cookie("jsjgUserName", username);

Cookie ckPwd= new Cookie("jsjgUserPwd", password);

ckName.setMaxAge(365*24*60*60);

ckPwd.setMaxAge(365*24*60*60);

response.addCookie(ckName);

response.addCookie(ckPwd);

2. 拦截器代码

packagecom.tools;importjava.util.Map;importjavax.servlet.ServletContext;importjavax.servlet.http.Cookie;importjavax.servlet.http.HttpSession;importorg.apache.struts2.ServletActionContext;importorg.apache.struts2.StrutsStatics;importorg.springframework.context.ApplicationContext;importorg.springframework.web.context.support.WebApplicationContextUtils;importcom.opensymphony.xwork2.ActionInvocation;importcom.opensymphony.xwork2.interceptor.Interceptor;importcom.zhzx.class_entity.User;importcom.zhzx.service.UserService;

@SuppressWarnings("serial")public class MyInterceptor implementsInterceptor {public voiddestroy() {

}public voidinit() {

}public String intercept(ActionInvocation actionInvocation) throwsException {//确认Session是否过期

Map strutSession =actionInvocation.getInvocationContext().getSession();

Cookie[] cookies=ServletActionContext.getRequest().getCookies();

User us=(User) strutSession.get("user");

String userName= "";

String userPwd= "";if (us!=null&&!"".equals(us)) {returnactionInvocation.invoke();

}else{//从cookie得到登录账户

if(cookies != null){for(Cookie cookie:cookies){if(cookie.getName().equalsIgnoreCase("jsjgUserName")){

userName=cookie.getValue();

System.out.println(userName);

}else if(cookie.getName().equalsIgnoreCase("jsjgUserPwd")){

userPwd=cookie.getValue();

}

}//登录

if(userName != null && userPwd != null){//因项目使用了SSH,所以这里是获取Spring管理的bean

ServletContext context =(ServletContext) actionInvocation.getInvocationContext().get(StrutsStatics.SERVLET_CONTEXT);

ApplicationContext ctx=WebApplicationContextUtils.getWebApplicationContext(context);

UserService userService= (UserService)ctx.getBean("UserService");//是否注入成功

System.out.println(userService);//登录并放入Strtu2包装的session

User user=userService.Login(userName);if(user != null &&user.getPassword().toLowerCase().equals(userPwd.toLowerCase())){

strutSession.put("user", user);

}returnactionInvocation.invoke();

}

}return "timeout";

}

}

}

然后拦截器按照常规方法使用即可。拦截器可以看看 Struts in Action ,Struts实战之类的书及PDF,有详细的讲解和例子。

吐槽:Java是太庞杂了,框架多不说,使用起来也方法各样,一会儿流行配置文件,一会儿流行注解,一会SSH,一会SSM,一会Sping MVC。

我就想说这不都是自己折腾自己么,学习成本不是成本么,发明出这么多轮子,软件行业不还是加班。旧的软件项目不还是要维护。

Java体系真是自己折腾自己,真心无爱了。

我觉得框架只是工具,就像武侠世界里,真正的高手是用什么工具都可以杀人于无形,那管你是用很多人鄙视的 ASP.NET 还是自以为很牛逼的Java Web,

甲方和老板关心的无非是你做完了么,做的好看么,是不是?

程序员,工程师们还是消停点好,多关心下自己的健康和身边的人不好么?

卢名雪
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
JAVA通过SessionCookie实现网站自动登录的技术
10-25
JAVA通过SessionCookie实现网站自动登录的技术
保持SESSION过期
Rushui-- 微光
05-25 1421
通过定时请求服务器的方式更新SESSION文件的最后访问时间,从而达到保持SESSION过期的情况 静态页面定义一个Script标签,并设置标签ID <script type="text/javascript" id="refresh_session"></script> Js定时更新该标签的Src属性,从而定时请求服务器。 需要注意的是,每次请求都需要创建一个新的Script标签,不能直接修改Script标签中的Src属性,否则浏览器将不会发出新的请求 <sc
java如何记住登录状态_Android开发中 如何保持登录状态
weixin_28993311的博客
03-08 432
之前多iOS开发没遇到过session保持的问题,第一次做安卓项目,组长说和iOS一样,瞬间蒙圈啦,session保持是什么。。。session:通俗点说就是网络请求中的会话创建保持的一种服务端机制。cookie:服务端给每个session分配一个唯一的JSESSIONID,通过cookie给客户端;sessioncookie都是为了用来保存状态信息的。一个用于服务端一个用于客户端;解决:1.在...
php session 永不过期,怎么让php中的session永不过期
weixin_33614878的博客
03-09 417
打开php.ini文件,分别将“session.use_cookies”值设置为1,“session.cookie_lifetime”值设置为999999999,“session.gc_maxlifetime”值设置为99999999,即可。php中session永不过期的方法第一种方法:打开php.ini设置文件,修改三行如下:【相关教程推荐:《PHP教程》】1、session.use_cook...
三种设置session有效时间的方法
这介绍不了我
12-07 9856
session的默认有效时间是30分钟。三种设置session有效时间的方法:方法1:使用java函数:session.setMaxInactiveInterval()。方法2:在项目中web.xml的session-config。中配置方法3:直接在应用服务器中设置。
session永不失效
数据库天地
02-20 913
保持Session的方法很但是 &lt;session-config&gt; &lt;session-timeout&gt;-1&lt;/session-timeout&gt; &lt;/session-config&gt;是行不通的,因为session计算时间以分钟为单位,必须是大于等于1的整数。 但是我们也不能这样, &lt;sessi...
JAVA通过SessionCookie实现网站自动登录的技术.txt
01-15
JAVA通过SessionCookie实现网站自动登录的技术.txt
java设置session过期时间的实现方法
09-04
主要介绍了java设置session过期时间的实现方法,以实例形式详细讲述了具体实现过程,非常具有参考借鉴价值,需要的朋友可以参考下
asp之让Session永不过期
10-30
保持Session的方法:有人说设session.timeout=-1,或小于0的数。这种方法肯定是不行的,session计算时间以分钟为单位,必须是大于等于1的整数。
Java Web实现session过期后自动跳转到登陆页功能【基于过滤器】
08-28
主要介绍了Java Web实现session过期后自动跳转到登陆页功能,涉及java过滤器针对session的判断与跳转相关操作技巧,需要的朋友可以参考下
Spring Security-4:使用 Session 持久化登录
github_39436025的博客
11-25 1677
更多内容欢迎访问我的个人 Java 站点:开坑组-Java站 使用 Session 持久化登录态 之前我们介绍了如何自定义用户,自定义验证码等。处理完以上步骤之后,我们需要了解的就是用 Session 来持久化我们的登录态了,只有持久化了登录态,才能够确保在有多个服务的同时,也能够在不同的服务器中获取到用户的登录状态。 持久化登录态的方式有多种,接下来我们分别来介绍下如何使用 MySQL 和 Redis 来存储 Session。 使用 MySQL 存储登录态 添加依赖至 pom.xml <!--
session+cookie简单讲解以及持久化登录实现
AKGWSB 's blog
07-05 6884
目录前言持久化登录介绍cookiecookie介绍cookie携带账号密码?cookie存储登录标志?sessionsession简介session的生存周期session存储登录标志?cookie+session存储用户信息以区分用户注销代码实现实现思路登录验证后台程序 loginRecv.php登录成功页面 loginSuccessPage.php跳转页面subPage1.php注销服务程序 logoutRecv.php演示 前言 上次实现了一个最简单的登录功能,用到了mysql和php。【最简单的网页
解决servet和jsp中的session不能及时更新的问题
yuefengyuan的专栏
10-26 4299
servelt中代码:      session.invalidate();    session.removeAttribute(CommonUtil.SECURITY_USER);    response.setHeader("Pragma","No-cache");     response.setHeader("Cache-Control","no-cache");
java html实现会话过期,怎么实现不刷新页面时的session超时控制
weixin_39669761的博客
03-11 342
如何实现不刷新页面时的session超时控制当有提交请求处理的时候,可以用拦截器或者过滤器实现超时监听我现在想实现,页面无刷新,使用js计数器控制页面超时每次鼠标单击都重新赋值计时器为0若长时间没有点击鼠标,超时点击之后跳转到login.jsp又没有示例代码呢?新手锻炼,麻烦各位大神指教------解决思路----------------------首先保证设置session过期时间然后在页面上...
java session 永不过期_java设置配置session过期时间的方法
weixin_39861498的博客
02-16 1169
1) Timeout in the deployment descriptor (web.xml)以分钟为单位代码如下 复制代码20上面这种设置,对整个web应用生效。当客户端20分钟内都没有发起请求时,容器会将session干掉。2) Timeout with setMaxInactiveInterval()通过编码方式,指定特定的session过期时间,以秒为单位。例如:代码如下 复制代码H...
shiro session设置了过期时间不起作用、无效;
热门推荐
wangjun5159的专栏
05-07 1万+
背景知识 shiro的sesssion由sessionmanager管理,所以这里有必要介绍一下sessionmanager,shiro常用的sessionmanager有ServletContainerSessionManager、DefaultWebSessionManager。 servlet容器管理session 设置为ServletContainerSessionManager时,...
如何使Session永不过期
weixin_30381317的博客
03-07 853
用在要保持session的页里设隐藏iframe每隔一段时间(这个时间小于session.timeout的时间)把涮 新一次frame里的空页面!实现方法如下: 在要保持session页里加上:<iframe width=0 height=0 src="SessionKeeper.asp"></iframe> 同目录下建一下SessionK...
servlet如何使用session存储后能否修改_面试官:讲讲session的持久化
weixin_39862899的博客
01-21 235
作者:緑水長流*z出自:CSDN原文:csdn.net/Bb15070047748/article/details/108809255?utm_medium=distribute.pc_category.none-task-blog-hot-8.nonecase&depth_1-utm_source=distribute.pc_category.none-task-blog-hot-8.n...
javasession与token以及token实现
qq_29950673的博客
03-01 5502
session:会话 由于网络种HTTP协议本身是无状态协议,无法确定请求的对象是否是同一个,所有出现了session。 当通过浏览器第一次访问服务端资源时,服务端会创建一个session,并未该session生成一个唯一的key,即sessionid,以key,value的方式保证在缓存种,也可持久化到数据库,具体看项目需求,一般情况不需要持久化(个人观点),服务端将生成的sessionid...
Django不同应用之间修改SESSION_COOKIE_NAME和SESSION_COOKIE_PATH等设置修改前缀
最新发布
05-05
在Django中,每个应用都有自己的settings.py文件,可以在其中添加或修改SESSION_COOKIE_NAME和SESSION_COOKIE_PATH等设置来修改前缀。但是,这种方式只会影响当前应用的session cookie前缀,而不会影响其他应用的session cookie前缀。 如果你想要修改整个Django项目中所有应用的session cookie前缀,可以在项目的settings.py文件中修改。具体方法如下: 1. 打开项目的settings.py文件,找到SESSION_COOKIE_NAME和SESSION_COOKIE_PATH等设置。 2. 修改这些设置的值,例如将SESSION_COOKIE_NAME设置为"myapp_session",将SESSION_COOKIE_PATH设置为"/myapp/"。 3. 保存文件并重启Django服务器。 这样做后,整个Django项目中所有应用的session cookie前缀都会被修改为"myapp_session",路径为"/myapp/"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值