你有多久保持会话cookie？

Question

我正在实现一个使用会话的Web应用程序。我使用GWT和应用程序引擎作为我的客户端/服务器，但我认为他们没有做任何与我使用PHP和Apache等不同的东西。

当用户登录到我的Web应用程序时，我正在使用HttpSession为他们开始会话。我得到这样的会话ID：

// From my login servlet: 
getThreadLocalRequest().getSession(false).getId(); 

我将sessionId返回给客户端，并将它们存储在cookie中。我使用的是套这个cookie为“过期”的教程在两周内：

Cookie.write("sid", theSessionId, 1000 * 60 * 60 * 24 * 14); // two weeks 

这里就是我很困惑：如果cookie在两周内到期，然后我的用户将沿着使用webapp高高兴兴，只有一天浏览到我的网站，并显示一个登录屏幕。我有什么选择？我可以只设置此cookie的到期时间吗？那样的话，用户将不得不明确注销，否则他们可以永远使用该应用程序而不必重新登录？

或者是否有更好的方法来做到这一点？我不记得像Twitter这样的网站曾要求我重新登录。我似乎永久登录。他们是否设置了过期？

该webapp没有保护任何类型的高度敏感的数据，所以我不介意留下不过期的cookie，但似乎必须有更好的方式？

这是我引用教程：

http://code.google.com/p/google-web-toolkit-incubator/wiki/LoginSecurityFAQ

感谢

Answer 1

的HttpSession已经被一个cookie支持的幕后。检查名称为jsessionid的浏览器cookie列表。此外，在获得实例时，您应该在不使用false的情况下致电getSession()，否则在未创建时您可能冒NullPointerException，因此将返回null。

当您进行登录时，通常会将登录的User放入会话中。

User user = userDAO.find(username, password); 
if (user != null) { 
    session.setAttribute("user", user); 
} else { 
    // Handle error "Unknown username/password combo." 
} 

你可以只检查自己的会话存在让你的web应用拦截在User登录。例如，在您想用来阻止受保护页面的Filter中。

if (session.getAttribute("user") == null) { 
    response.sendRedirect("login"); 
} else { 
    chain.doFilter(request, response); 
} 

的HttpSession在大多数webcontainers 30分钟的默认超时。换句话说，它将在最后一次请求后30分钟到期。这是在web.xml configureable如下：

<session-config> 
    <session-timeout>10</session-timeout> 
</session-config> 

当超时是在分钟（在上述的例子因此，10分钟）。

如果您想提供一个（自动）“记住我这台电脑上”选项，然后你必须创建另一个的cookie 另一标识符。我之前发布了一个详细解答：Java - How do I keep a user logged into my site for months?