会话覆盖实现
Posted
技术标签:
【中文标题】会话覆盖实现【英文标题】:Session Override implementation 【发布时间】:2015-11-30 09:04:37 【问题描述】:我正在为我的 Web 应用程序使用 Spring Boot、AngularJS 和 REST。我还使用 JWT/oAuth 令牌进行用户身份验证和授权,暗示会话是无状态的。
我们有一个要求,其中不允许用户重复会话。
我已经实现了一种方法,如果用户从同一机器或任何其他机器的任何其他浏览器登录,则会显示会话覆盖确认消息。
如果会话被覆盖,那么只要用户尝试执行任何活动,第一个会话就会终止。 为此,该用户的最后一个令牌生成时间保存在服务器内存中。 如果传入的令牌生成时间与内存中的时间匹配,则授予访问权限,否则抛出会话过期错误。 当用户成功注销时,该用户的条目会从内存中清除,新的身份验证请求不会引发会话覆盖错误。
现在发生的情况是,每当用户没有成功注销并且只是关闭浏览器窗口时,服务器值就不会被清除。 当用户尝试再次登录时,会抛出会话覆盖消息,即使(从用户的角度来看)没有重复的会话。
我的问题是:有什么方法可以避免在上述情况发生时显示会话覆盖消息,但同时在用户真的尝试重复会话时显示覆盖消息?
是否有任何应用程序/设计可用于处理此类情况?
欢迎任何建议/想法。
【问题讨论】:
【参考方案1】:当我需要检测用户是手动注销还是会话超时(通常他们只是关闭浏览器而忘记注销)时,我有类似的情况。
我所做的是利用弹簧ApplicationListener
public class SessionAuditListener implements ApplicationListener<ApplicationEvent>
@Override
public void onApplicationEvent(ApplicationEvent applicationEvent)
if (applicationEvent instanceof HttpSessionDestroyedEvent)
// do whatever it needs here
HttpSession httpSession = ((HttpSessionDestroyedEvent) applicationEvent).getSession();
【讨论】:
以上是关于会话覆盖实现的主要内容,如果未能解决你的问题,请参考以下文章