我正在为我的Web应用程序使用Spring Boot,AngularJS和REST。我还使用JWT / oAuth令牌进行用户身份验证和授权,这意味着会话是无状态的。
我们要求不允许用户重复会话。
我已经实现了一种方法,如果用户从同一台机器或任何其他机器的任何其他浏览器登录,则会显示会话覆盖确认消息。
如果会话被覆盖,则只要用户尝试执行任何活动,第一个会话就会终止。
为此,该用户的最后一个令牌生成时间保留在服务器内存中。
如果传入令牌生成时间与内存中的时间匹配,则授予访问权限,否则会引发会话过期错误
当用户执行成功注销时,该用户的条目将从内存中刷新,新的身份验证请求不会引发会话覆盖错误。
现在发生的事情是,只要用户没有成功注销并且只是关闭浏览器窗口,就不会清除服务器值。 当用户尝试再次登录时,会抛出会话覆盖消息,即使(从用户的角度来看),也没有重复的会话。
我的问题是:当上述情况发生时,我们有什么方法可以避免显示会话覆盖消息但是如果用户真的尝试重复会话,则同时显示覆盖消息?
是否有任何应用程序/设计可用于处理此类案件?
欢迎任何建议/想法。
答案 0 :(得分:0)
我有类似的情况,我需要检测用户是手动注销还是会话超时(通常只是关闭浏览器忘记注销)。
我所做的就是利用弹簧ApplicationListener
public class SessionAuditListener implements ApplicationListener<ApplicationEvent> {
@Override
public void onApplicationEvent(ApplicationEvent applicationEvent) {
if (applicationEvent instanceof HttpSessionDestroyedEvent) {
// do whatever it needs here
HttpSession httpSession = ((HttpSessionDestroyedEvent) applicationEvent).getSession();
}
}
}