如何获取 Web 应用程序中所有 HttpSession 对象的列表?

Posted

技术标签:

【中文标题】如何获取 Web 应用程序中所有 HttpSession 对象的列表?【英文标题】:How do I get a list of all HttpSession objects in a web application? 【发布时间】:2011-04-15 19:50:33 【问题描述】:

假设我有一个正在运行的基于 Java 的 Web 应用程序,其中有 0 个或多个有效的HttpSession 对象与之关联。我想要一种访问当前有效HttpSession 对象列表的方法。我在想我可以实现一个HttpSessionListener 并使用它来附加到存储在应用程序范围属性中的会话 id 值列表,但是当会话无效和谁知道还有什么。

在我开始编写自己的解决方案之前,我想我应该问一个问题:servlet API 是否提供了一些方法来访问未失效会话对象的完整列表?

我使用 Tomcat 6.x 作为我的 Web 应用程序容器,并使用 MyFaces 1.2.x (JSF) 库。

解决方案 我采用了类似于 BalusC 在这些现有问题中讨论的方法:

How to easily implement "who is online" in Grails or Java Application ? JSF: How to invalidate an user session when he logs twice with the same credentials

我通过SessionData类修改实现HttpSessionBindingListener。当绑定事件发生时,该对象将从所有SessionData 对象的集合中添加或删除自己。

@Override
public void valueBound(HttpSessionBindingEvent event)  
    // Get my custom application-scoped attribute
    ApplicationData applicationData = getApplicationData();
    // Get the set of all SessionData objects and add myself to it
    Set<SessionData> activeSessions = applicationData.getActiveSessions();
    if (!activeSessions.contains(this)) 
        activeSessions.add(this);
    


@Override
public void valueUnbound(HttpSessionBindingEvent event) 
    HttpSession session = event.getSession();
    ApplicationData applicationData = getApplicationData();
    Set<SessionData> activeSessions = applicationData.getActiveSessions();
    if (activeSessions.contains(this)) 
        activeSessions.remove(this);
    

让我继续恼火的一件事是 Tomcat 重新启动时会发生什么。除非 Tomcat 已正确配置为不将会话序列化到磁盘,否则它将这样做。当 Tomcat 再次启动时,HttpSession 对象(以及与它们一起的SessionData 对象)被反序列化并且会话再次生效。但是,序列化/反序列化完全回避了 HttpSession 侦听器事件,因此我没有机会在重启后优雅地将对 SessionData 的反序列化引用放回我的托管对象集中。

我无法控制客户组织中 Tomcat 的生产配置,因此我不能假设它会按照我期望的方式完成。

我的解决方法是将HttpSession 创建时间与收到请求时的应用程序启动时间进行比较。如果会话是在应用程序启动时间之前创建的,那么我会调用 invalidate() 并将用户发送到错误/警告页面,并说明发生的情况。

我通过实现 ServletContextListener 并将当前时间存储在我的侦听器的 contextInitialized() 方法中的应用程序范围对象中来获取应用程序启动时间。

【问题讨论】:

【参考方案1】:

不,Servlet API 没有提供方法。你真的必须在HttpSessionListener 的帮助下掌握它们。您可以在以下答案中找到几个示例:

How to find HttpSession by jsessionid? How to find number of active sessions per IP? How to check Who's Online? How to invalidate another session when a user is logged in twice?

【讨论】:

【参考方案2】:

没有直截了当的方法。这取决于部署。一旦您决定引入分布式部署和负载平衡,上述操作将失败。

【讨论】:

我的应用程序在专用网络上的用户数量有限,因此我不需要支持分布式部署。不过我同意你的评论。 我想修改这个(以及磁盘持久性陷阱)的方法是让侦听器更新一个共享数据存储(Redis、Memcached 或其他东西)来跟踪会话.【参考方案3】:

不是一个真正的答案,但在过去的好日子里有“javax.servlet.http.HttpSessionContext”,但它在 2.1 版中被删除,明确地没有替代:https://tomcat.apache.org/tomcat-5.5-doc/servletapi/javax/servlet/http/HttpSessionContext.html

【讨论】:

以上是关于如何获取 Web 应用程序中所有 HttpSession 对象的列表?的主要内容,如果未能解决你的问题,请参考以下文章

Security 获取当前会话的三种方法

Security 获取当前会话的三种方法

如何通过 web3 或其他人获取 Metamask 钱包中的所有代币?

Spring Web应用程序完成启动时如何获取回调

浅谈Swift如何快速获取Web页面中图片资源的大小

如何在 Express 中获取所有已注册的路线?