两者有什么区别?我不太确定,但我相信HttpServletReqest.getSession.invalidate()只会使用户的会话无效,而invalidate-session =“true”使会话无效并将用户重定向到定义的会话过期页面。如果我错了,请纠正我,我想更多地了解这一点。感谢。
答案 0 :(得分:3)
invalidate-session
是<logout>
元素的一个属性,会导致会话在注销时失效(这是默认行为),但不会自行调整任何重定向。
如果请求包含无效/过期的会话ID,则会话过期页面会显示在这种情况下,SessionManagementFilter
会将其重定向到预先配置的URL,您可以通过{{1}设置该URL配置。如果没有设置,则不会发生重定向。
<session-management invalid-session-url="...">
会使会话无效。