如何在浏览器关闭时关闭 vaadin 会话但保持 http 会话？

Question

我正在开发一个 vaadin 7 应用程序，该应用程序使用 jaas 进行用户身份验证和授权，并在应用程序服务器 (glassfish) 中定义了一个领域。

我有这个要求：

• 用户可以保持登录状态一段时间，这样他就不需要每次都输入密码。
  我通过设置 http 会话的会话超时来做到这一点。

• vaadin 会话可以锁定一些资源，并且在锁定时，没有其他会话可以使用该资源。当 vaadin 会话关闭时，所有锁定的资源都会被释放。
  我将心跳间隔设置为仅 15 秒。

我无法同时满足这两个要求。 如果我将http会话超时设置为一分钟，则资源在关闭浏览器一分钟后释放，但用户下次不认证。
如果我将 https 会话超时设置为某些天，则这次用户已通过身份验证，但 vaadin 会话在 3 次错过心跳后不会立即关闭。只有当用户下次使用相同的 http session 使用应用程序时才会关闭它。

如何同时满足这两个要求？

这里有更多关于我正在使用的技术的信息：

• 玻璃鱼 4
• 网络应用 3.1
• vaadin 7.1.7
• vaadin-cdi 1.0-SNAPSHOT

感谢您的帮助

Answer 1

您可能想看看Spring Security，尤其是Remember-Me Authentication - 我个人会使用的替代方法，而不是尝试自己实现安全的持久登录。

如果你想走DIY之路：

我认为尝试将 Vaadin 与 Http Session 分开并不是一个好主意。 Application lifecycle section of the Vaadin book 说：

当新客户端连接时，它会创建一个新的用户会话，由 VaadinSession 的实例表示。使用存储在浏览器中的 cookie 跟踪会话。 … [Vaadin 会话] 还通过 WrappedSession 提供对较低级别会话对象 HttpSession 和 PortletSession 的访问。

也许您可以将第一个要求的解决方案（“用户可以保持登录状态一段时间，这样他就不需要每次都输入密码。”）到将登录凭据与 http 会话分开？

您可以将一些带时间戳和唯一 ID 存储为 cookie（带有过期日期）和 customize the VaadinServlet 以及您自己的 SessionInitListener 和 SessionDestroyListener 来检查它（并设置它），或者需要登录凭据或接受来自客户端的凭据，具体取决于您在服务器上执行的检查。

Answer 2

您的问题有些含糊不清，但我相信您可以使用自己的 close() 方法解决它。您可以使用自定义的 close() 方法创建自己的 Vaadin Application 类，或者使用 TPTApplication 并覆盖其 close() 方法：

http://vaadin.com/directory#addon/toolkit-productivity-tools:vaadin

确保在会话关闭时调用关闭，并在那里进行清理。这也将在会话结束时调用。

如果您不能确保这一点（即，如果用户只是关闭窗口并且您没有一些 javascript 来处理此问题），您可以使用 Vaadin 拦截关闭窗口，但它的工作量要大得多.当用户试图关闭窗口时，您会中断该过程，通过回调执行您需要执行的操作，然后让关闭发生。有关如何从 vaadin 进行中断的详细信息如下所示：

https://vaadin.com/forum/#!/thread/44621/44668
https://vaadin.com/forum/#!/thread/83207/83206

回调仅是客户端，因此您必须调用服务器（通过 javascript 获取/发布），该服务器会将会话 id 传递给您正在监听的 servlet。然后，servlet 将使用传入的会话 id 释放锁。

关键是监听窗口关闭并能够适当地响应。