web.xml
<!-- session过滤器 -->
<filter>
<filter-name>sessionFilter</filter-name>
<filter-class>eesofa.cn.filter.SessionFilter</filter-class>
</filter>
<filter-mapping>
<filter-name>sessionFilter</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
<!-- 15分钟后session过期-->
<session-config>
<session-timeout>15</session-timeout>
</session-config>
SessionFilter.java
public class SessionFilter extends OncePerRequestFilter {
/** 登录验证过滤器 */
@Override
protected void doFilterInternal(HttpServletRequest request,
HttpServletResponse response, FilterChain filterChain)
throws ServletException, IOException {
// System.out.println("进入");
// 不过滤的uri
String[] notFilter = new String[] { "/static", "/login",
"/WEB-INF/views/fail.jsp", "/index.jsp" };
// 请求的uri
String uri = request.getRequestURI();
// 是否过滤
boolean doFilter = true;
for (String s : notFilter) {
if (uri.indexOf(s) != -1) {
System.out.println("通过过滤验证:" + uri);
// 如果uri中包含不过滤的uri,则不进行过滤
doFilter = false;
break;
}
}
if (doFilter) {
// 执行过滤
// 从session中获取登录者实体
Object obj = request.getSession().getAttribute(
SessionKeyContent.SESSION_KEY_OBJ_USER_BEAN);
if (null == obj) {
boolean isAjaxRequest = isAjaxRequest(request);
if (isAjaxRequest) {
response.setCharacterEncoding("UTF-8");
response.sendError(HttpStatus.UNAUTHORIZED.value(),
"您已经太长时间没有操作,请刷新页面");
return;
}
String basePath = request.getScheme() + "://"
+ request.getServerName() + ":"
+ request.getServerPort() + request.getContextPath();
response.sendRedirect(basePath + "/index.jsp");
return;
} else {
// 如果session中存在登录者实体,则继续
filterChain.doFilter(request, response);
}
} else {
// 如果不执行过滤,则继续
filterChain.doFilter(request, response);
}
}
/**
* 判断是否为Ajax请求 <功能详细描述>
*
* @param request
* @return 是true, 否false
* @see [类、类#方法、类#成员]
*/
public static boolean isAjaxRequest(HttpServletRequest request) {
String header = request.getHeader("X-Requested-With");
if (header != null && "XMLHttpRequest".equals(header))
return true;
else
return false;
}
}
public class SessionKeyContent {
public final static String SESSION_KEY_OBJ_USER_BEAN="Priv_User";
}
session在spring.xml也可以配置,不过不太熟练 ,是我拷贝的,简单试了一下,可用
这里的拦截器需要继承HandlerInterceptor与在web.xml的拦截器继承的OncePerRequestFilter是不同的,不要弄混了
<mvc:interceptors>
<mvc:interceptor>
<!-- 需拦截的地址 -->
<!-- 一级目录 -->
<mvc:mapping path="/*.do" />
<mvc:mapping path="/*.ajax" />
<mvc:mapping path="/*.htm" />
<!-- 二级目录 -->
<mvc:mapping path="/*/*.do" />
<mvc:mapping path="/*/*.ajax" />
<mvc:mapping path="/*/*.htm" />
<!-- 需排除拦截的地址 -->
<mvc:exclude-mapping path="/login.htm"/>
<bean class="com.anxin.msapweb.web.interceptor.SecurityInterceptor" />
</mvc:interceptor>
</mvc:interceptors>
SecurityInterceptor.java
public class SecurityInterceptor implements HandlerInterceptor {
private static final String LOGIN_URL = "/login.htm";
@Override
public boolean preHandle(HttpServletRequest request,
HttpServletResponse response, Object handler) throws Exception {
HttpSession session = request.getSession(true);
// 从session 里面获取用户名的信息
Object obj = session
.getAttribute(SessionKeyContent.SESSION_KEY_OBJ_USER_BEAN);
String uri = request.getRequestURI();
System.out.println("你进入了这个拦截器");
System.out.println("你拦截了这个:"+uri);
// 判断如果没有取到用户信息,就跳转到登陆页面,提示用户进行登陆
if (obj == null || "".equals(obj.toString())) {
String basePath = request.getScheme() + "://"
+ request.getServerName() + ":" + request.getServerPort()
+ request.getContextPath();
response.sendRedirect(basePath + "/index.jsp");
}
return true;
}
@Override
public void postHandle(HttpServletRequest req, HttpServletResponse res,
Object arg2, ModelAndView arg3) throws Exception {
}
@Override
public void afterCompletion(HttpServletRequest req,
HttpServletResponse res, Object arg2, Exception arg3)
throws Exception {
}
}
关于session过期时间有如下三种配置
设置Session超时时间方式:
方式一:
在web.xml中设置session-config如下:
<session-config>
<session-timeout>2</session-timeout>
</session-config>
即客户端连续两次与服务器交互间隔时间最长为2分钟,2分钟后session.getAttribute()获取的值为空
API信息:
session.getCreationTime(); //获取session的创建时间
session.getLastAccessedTime(); //获取上次与服务器交互时间
session.getMaxInactiveInterval(); //获取session最大的不活动的间隔时间,以秒为单位120秒。
方式二:
在Tomcat的/conf/web.xml中session-config,默认值为:30分钟
<session-config>
<session-timeout>30</session-timeout>
</session-config>
方式三:
在Servlet中设置
HttpSession session = request.getSession();
session.setMaxInactiveInterval(60);//单位为秒
说明:
1.优先级:Servlet中API设置 > 程序/web.xml设置 > Tomcat/conf/web.xml设置
2.若访问服务器session超时(本次访问与上次访问时间间隔大于session最大的不活动的间隔时间)了,即上次会话结束,但服务器与客户端会产生一个新的会话,之前的session里的属性值全部丢失,产生新的sesssionId
3.客户端与服务器一次有效会话(session没有超时),每次访问sessionId相同,若代码中设置了session.setMaxInactiveInterval()值,那么这个session的最大不活动间隔时间将被修改,并被应用为新值。
4.Session的销毁(代表会话周期的结束):在某个请求周期内调用了Session.invalidate()方法,此请求周期结束后,session被销毁;或者是session超时后自动销毁;或者客户端关掉浏览器
5.对于JSP,如果指定了<%@ page session=”false”%>,则在JSP中无法直接访问内置的session变量,同时也不会主动创建session,因为此时JSP未自动执行request.getSession()操作获取session。