比方说,我有一个正在运行的基于Java的Web应用程序,其中有0个或更多有效的HttpSession
对象与之关联。我想要一种方法来访问当前有效的对象列表。我想我可以实现一个HttpSessionListener
并使用它追加到存储在应用程序作用域属性中的会话id值列表中,但随后我挂钩更新列表,因为会话失效并且知道谁知道还有什么。如何获取Web应用程序中所有HttpSession对象的列表?
我开始烘烤自己的解决方案之前,我想我应该问这样一个问题:
是否该servlet API提供获得非无效会话对象的完整列表访问的一些手段?
我使用Tomcat 6.x作为我的Web应用程序容器和MyFaces 1.2.x(JSF)库。
SOLUTION
我跟着类似于BalusC在这些存在的问题讨论了一个办法:
- How to easily implement "who is online" in Grails or Java Application ?
- JSF: How to invalidate an user session when he logs twice with the same credentials
我通过SessionData
类修改为实现HttpSessionBindingListener
。发生绑定事件时,对象将添加或从自己的所有SessionData
对象中移除。
@Override
public void valueBound(HttpSessionBindingEvent event) {
// Get my custom application-scoped attribute
ApplicationData applicationData = getApplicationData();
// Get the set of all SessionData objects and add myself to it
Set<SessionData> activeSessions = applicationData.getActiveSessions();
if (!activeSessions.contains(this)) {
activeSessions.add(this);
}
}
@Override
public void valueUnbound(HttpSessionBindingEvent event) {
HttpSession session = event.getSession();
ApplicationData applicationData = getApplicationData();
Set<SessionData> activeSessions = applicationData.getActiveSessions();
if (activeSessions.contains(this)) {
activeSessions.remove(this);
}
}
继续激怒我的一件事是当Tomcat重新启动时会发生什么。除非Tomcat已被正确配置为不会序列化会话到磁盘,否则它会这样做。当Tomcat再次启动时,HttpSession
对象(以及SessionData
对象)被反序列化并且会话再次生效。但是,序列化/反序列化完全避开了监听器事件,所以我没有机会在重新启动后优雅地将对SessionData
的反序列化引用重新放回到我管理的对象集合中。
我无法控制客户组织中Tomcat的生产配置,所以我不能认为它会以我期望的方式完成。
我的解决方法是将HttpSession
创建时间与收到请求时的应用程序启动时间进行比较。如果会话是在应用程序启动时间之前创建的,则我致电invalidate()
,并将用户发送到错误/警告页面,并解释发生了什么。
我通过实现ServletContextListener
来获取应用程序启动时间,并将当前时间存储在侦听器的contextInitialized()
方法内的应用程序范围对象中。
我的应用程序将有私有网络上的用户数量有限,所以我不需要支持分布式部署。虽然我同意你的评论。 – 2010-09-24 15:34:33
我想修改这个(以及磁盘上的持久性陷阱)的方法是让侦听器更新一个跟踪会话的共享数据存储(Redis,Memcached或其他)。 – Thilo 2016-08-29 06:17:38