Spring Boot 安全性避免特定用户会话过期答案

【问题标题】：Spring boot security avoid specific user session expireSpring Boot 安全性避免特定用户会话过期
【发布时间】：2018-01-16 08:16:29
【问题描述】：

大家好，我在 Apache Tomcat 服务器上安装了我的 Spring Boot 应用程序，它运行良好。但现在我需要避免特定用户的会话过期。我怎么能那样做？我一直在寻找方法，发现处理程序拦截器可能对会话管理有用，但我不确定。提前致谢！

【问题讨论】：

为什么要避免会话过期？
这是一个客户要求。他们希望避免特定用户的会话过期。
也许你正在寻找stackoverflow.com/questions/2504590/… OR stackoverflow.com/questions/24561915/… OR baeldung.com/spring-security-session
不管它是否是一项要求，为什么希望用户会话不过期？如果该用户有任何权力，那就是一个重大安全漏洞。
直到你解释为什么。这具有XY problem 的症状。

【解决方案1】：

恐怕没有简单的方法可以做到这一点。过期超时对于您的应用程序的所有用户都是常见的，并由应用程序服务器控制。为了为不同的用户设置不同的超时时间，您应该：

编辑：在我看来，解决此问题的最佳方法是重新考虑客户的要求（具有管理员权限的永久用户对您的应用程序来说是个坏主意）。无论如何，自定义应用程序的安全相关部分总是有风险的，您应该真正知道自己在做什么。

【讨论】：