假设我有一个正在运行的基于 Java 的 Web 应用程序,其中有 0 个或多个有效的 HttpSession 对象与之关联。我想要一种访问当前有效 HttpSession 对象列表的方法。我在想我可以实现一个 HttpSessionListener 并使用它来附加到存储在应用程序范围属性中的 session id 值列表,但随后我就可以更新列表了因为 session 无效,谁知道还有什么。
在我开始烘焙自己的解决方案之前,我想我应该问一个问题:
servlet API 是否提供某种方法来访问未失效 session 对象的完整列表?
我使用 Tomcat 6.x 作为我的 Web 应用程序容器,并使用 MyFaces 1.2.x (JSF) 库。
解决方案
我采用了类似于 BalusC 在这些现有问题中讨论的方法:
- How to easily implement "who is online" in Grails or Java Application ?
- JSF: How to invalidate an user session when he logs twice with the same credentials
我通过SessionData类修改实现HttpSessionBindingListener。当绑定(bind)事件发生时,该对象将从所有 SessionData 对象的集合中添加或删除自己。
@Override
public void valueBound(HttpSessionBindingEvent event) {
// Get my custom application-scoped attribute
ApplicationData applicationData = getApplicationData();
// Get the set of all SessionData objects and add myself to it
Set<SessionData> activeSessions = applicationData.getActiveSessions();
if (!activeSessions.contains(this)) {
activeSessions.add(this);
}
}
@Override
public void valueUnbound(HttpSessionBindingEvent event) {
HttpSession session = event.getSession();
ApplicationData applicationData = getApplicationData();
Set<SessionData> activeSessions = applicationData.getActiveSessions();
if (activeSessions.contains(this)) {
activeSessions.remove(this);
}
}
继续让我恼火的一件事是 Tomcat 重新启动时会发生什么。除非 Tomcat 已正确配置为不将 session 序列化到磁盘,否则它将这样做。当 Tomcat 再次启动时,HttpSession 对象(以及与它们一起的 SessionData 对象)被反序列化并且 session 再次生效。但是,序列化/反序列化完全回避了 HttpSession 监听器事件,因此我没有机会优雅地将对 SessionData 的反序列化引用放回我的托管对象集中重启后。
我无法控制客户组织中 Tomcat 的生产配置,因此我不能假设它会按照我期望的方式完成。
我的解决方法是将 HttpSession 创建时间与收到请求时的应用程序启动时间进行比较。如果 session 是在应用程序启动时间之前创建的,那么我调用 invalidate() 并将用户发送到错误/警告页面,并说明发生了什么。
我通过实现 ServletContextListener 并将当前时间存储在我的监听器的 contextInitialized() 方法中的应用程序范围对象中来获取应用程序启动时间。
最佳答案
不,Servlet API 没有提供方法。你真的必须在 HttpSessionListener 的帮助下掌握它们。您可以在以下答案中找到几个示例:
关于java - 如何获取 Web 应用程序中所有 HttpSession 对象的列表?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/3771103/