我想在会话到期时收到会话超时消息。我是 spring-security.xml
<http auto-config="true" use-expressions="true">
<logout logout-success-url="/" invalidate-session="true" logout-url="/LogOut"/>
<form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
</session-management>
</http>
根据我的知识,当会话过期时使用上面的代码,它应该重定向到/?timeout=true OR /Timeout?timeout=true。在注销时,它应该转到/。但是在注销的情况下,它也会重定向到invalid-session-url,所以我总是在正常注销和会话超时时都超时。
请帮我区分一下。
更新
/logout请求包含
session = request.getSession();
session.invalidate();
session = null;
答案 0 :(得分:5)
我解决了!通过编写过滤器,取决于Spring-security。
如果有人感兴趣,可以使用以下代码: -
import java.io.IOException;
import java.io.PrintWriter;
import java.io.StringWriter;
import java.text.MessageFormat;
import javax.servlet.FilterChain;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import org.apache.log4j.Logger;
import org.springframework.web.filter.OncePerRequestFilter;
public class FilterToGetTimeOut extends OncePerRequestFilter {
@Override
public void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws IOException {
try {
if(request.getRequestURI().equals("/") || request.getRequestURI().equals("/Login/")){
if(request.getSession().getAttribute("login") != null && (Boolean)request.getSession().getAttribute("login") == true){
response.sendRedirect(URL); //After login page
}
} else if(request.getSession().getAttribute("login") == null && !request.getRequestURI().equals("/LogOut")){
response.sendRedirect(request.getContextPath()+"/?timeout=true"); //If timeout is true send session timeout error message to JSP
}
filterChain.doFilter(request, response);
} catch (Exception e) {
//Log Exception
}
}
}
在web.xml。
<filter>
<filter-name>FilterToGetTimeOut </filter-name>
<filter-class>package.FilterToGetTimeOut </filter-class>
</filter>
<filter-mapping>
<filter-name>FilterToGetTimeOut</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
所以现在会话也无效,我也可以处理会话超时。
答案 1 :(得分:3)
我建议你用这个注销:
HttpSession session= request.getSession(false);
SecurityContextHolder.clearContext();
if(session != null) {
session.invalidate();
}
for(Cookie cookie : request.getCookies()) {
cookie.setMaxAge(0);
}
答案 2 :(得分:0)
在您的情况下,当用户注销时,会话首先失效,然后会话管理将获得触发器。当会话管理进入并发现会话已经消失时,sessionTimeout页面将被重定向。因此,最好将logout标记的invalidate-session设置为false。
<logout logout-success-url="/" invalidate-session="false" logout-url="/LogOut"/>
答案 3 :(得分:0)
请在控制器中定义logout-success url的请求映射,然后从那里重定向到主页。例如,替换下面的映射
<http auto-config="true" use-expressions="true">
<logout logout-success-url="/logoutSucess" invalidate-session="true" logout-url="/LogOut"/>
<form-login login-page="/Login" username-parameter="Name" password-parameter="Pwd"/>
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/Timeout?timeout=true" />
</session-management>
使用@RequestMapping(value =“/ logoutSucess”method = RequestMethod.GET)在控制器中定义this / logoutSucess
答案 4 :(得分:0)
我有类似的问题,比如
我在Spring安全文件中的代码是:
<session-management invalid-session-url="/?timeout=true">
<concurrency-control max-sessions="1" expired-url="/logout?timeout" />
我通过在web.xml文件中添加会话超时条目解决了这个问题。 我将会话超时值设为5分钟,构建应用程序并进行部署。 工作正常。
这可能会对某人有所帮助。
谢谢, 阿图尔