如何获取 Web 应用程序中所有 HttpSession 对象的列表？

Posted 2023-02-23

【中文标题】如何获取 Web 应用程序中所有 HttpSession 对象的列表？

【英文标题】：How do I get a list of all HttpSession objects in a web application?

【发布时间】：2011-04-15 19:50:33

【问题描述】：

假设我有一个正在运行的基于 Java 的 Web 应用程序，其中有 0 个或多个有效的HttpSession 对象与之关联。我想要一种访问当前有效HttpSession 对象列表的方法。我在想我可以实现一个HttpSessionListener 并使用它来附加到存储在应用程序范围属性中的会话 id 值列表，但是当会话无效和谁知道还有什么。

在我开始编写自己的解决方案之前，我想我应该问一个问题：servlet API 是否提供了一些方法来访问未失效会话对象的完整列表？

我使用 Tomcat 6.x 作为我的 Web 应用程序容器，并使用 MyFaces 1.2.x (JSF) 库。

解决方案 我采用了类似于 BalusC 在这些现有问题中讨论的方法：

How to easily implement "who is online" in Grails or Java Application ? JSF: How to invalidate an user session when he logs twice with the same credentials

我通过SessionData类修改实现HttpSessionBindingListener。当绑定事件发生时，该对象将从所有SessionData 对象的集合中添加或删除自己。

@Override
public void valueBound(HttpSessionBindingEvent event)  
    // Get my custom application-scoped attribute
    ApplicationData applicationData = getApplicationData();
    // Get the set of all SessionData objects and add myself to it
    Set<SessionData> activeSessions = applicationData.getActiveSessions();
    if (!activeSessions.contains(this)) 
        activeSessions.add(this);
    


@Override
public void valueUnbound(HttpSessionBindingEvent event) 
    HttpSession session = event.getSession();
    ApplicationData applicationData = getApplicationData();
    Set<SessionData> activeSessions = applicationData.getActiveSessions();
    if (activeSessions.contains(this)) 
        activeSessions.remove(this);
    

让我继续恼火的一件事是 Tomcat 重新启动时会发生什么。除非 Tomcat 已正确配置为不将会话序列化到磁盘，否则它将这样做。当 Tomcat 再次启动时，HttpSession 对象（以及与它们一起的SessionData 对象）被反序列化并且会话再次生效。但是，序列化/反序列化完全回避了 HttpSession 侦听器事件，因此我没有机会在重启后优雅地将对 SessionData 的反序列化引用放回我的托管对象集中。

我无法控制客户组织中 Tomcat 的生产配置，因此我不能假设它会按照我期望的方式完成。

我的解决方法是将HttpSession 创建时间与收到请求时的应用程序启动时间进行比较。如果会话是在应用程序启动时间之前创建的，那么我会调用 invalidate() 并将用户发送到错误/警告页面，并说明发生的情况。

我通过实现 ServletContextListener 并将当前时间存储在我的侦听器的 contextInitialized() 方法中的应用程序范围对象中来获取应用程序启动时间。

【参考方案1】：

不，Servlet API 没有提供方法。你真的必须在HttpSessionListener 的帮助下掌握它们。您可以在以下答案中找到几个示例：

How to find HttpSession by jsessionid? How to find number of active sessions per IP? How to check Who's Online? How to invalidate another session when a user is logged in twice?

【参考方案2】：

没有直截了当的方法。这取决于部署。一旦您决定引入分布式部署和负载平衡，上述操作将失败。

【讨论】：

我的应用程序在专用网络上的用户数量有限，因此我不需要支持分布式部署。不过我同意你的评论。

我想修改这个（以及磁盘持久性陷阱）的方法是让侦听器更新一个共享数据存储（Redis、Memcached 或其他东西）来跟踪会话.

【参考方案3】：

不是一个真正的答案，但在过去的好日子里有“javax.servlet.http.HttpSessionContext”，但它在 2.1 版中被删除，明确地没有替代：https://tomcat.apache.org/tomcat-5.5-doc/servletapi/javax/servlet/http/HttpSessionContext.html