是否可以终止已登录用户的 HttpSession?
我们可以在用户会话中执行以下操作:
HttpSession s = request.getSession(false);
s.invalidate(); // make sure s != null
但是管理员用户如何“踢出”给定用户?
我希望在 ServletContext 下找到一些 API,它会返回活动会话列表,但事实并非如此。
我正在使用 Spring Security 3 和 Tomcat 7。
【问题讨论】:
标签: servlets spring-security tomcat7 httpsession
Spring Security 有一个SessionRegistry 来处理这种情况。您可以使用concurrency-control 标签中的session-registry-ref 属性声明它。这里有一点documentation。
【讨论】:
基本上有两种方式(不考虑 Spring Security,因为我不使用 Spring):
在某个应用程序范围Map<User, HttpSession> 中收集所有这些会话。然后就做
sessions.get(user).invalidate();
HttpSessionListener 和/或HttpSessionBindingListener 可能有助于在会话超时/到期的情况下清理应用程序范围内的Map。
在数据库中添加一个布尔列,每个filter 的请求都会检查该列。
if (shouldLogout(user)) {
session.invalidate();
}
【讨论】: