Session Override implementation

Question

我为我的web应用程序使用Spring Boot，AngularJS和REST。我还使用JWT/oAuth令牌进行用户验证和授权，这意味着会话是无状态的。

我们有一个要求，一个用户不应该被允许重复会话。

我已经实现了一种方式，如果用户从同一台机器或任何其他机器的任何其他浏览器登录，则会显示一个会话覆盖确认消息。

如果会话被覆盖，那么当用户尝试执行任何活动时，第一个会话将终止。
为此，该用户的最后一个令牌生成时间保存在服务器内存中。
如果传入令牌生成时间与内存中的时间匹配，则授予访问权限，否则会引发会话过期错误。
当用户执行成功的注销时，该用户的条目将从内存中清除，新的认证请求不会抛出会话覆盖错误。

现在发生的情况是，只要用户没有成功注销并且只是关闭浏览器窗口，那么服务器值就不会被清除。 并且当用户尝试再次登录时，即使（从用户的角度来看）会话重写消息也被抛出，没有重复的会话。

我的问题是：有什么办法可以避免在上述场景发生时显示会话覆盖消息，但同时如果用户真的尝试重复会话显示覆盖消息？

是否有任何应用/设计可用于处理此类情况？

欢迎任何建议/想法。

Answer 1

我有类似的情况，当我需要检测用户是否手动注销或会话超时（通常他们忘记了通过关闭浏览器注销）。

我做的是利用弹簧ApplicationListener

public class SessionAuditListener implements ApplicationListener<ApplicationEvent> { 

    @Override 
    public void onApplicationEvent(ApplicationEvent applicationEvent) { 
     if (applicationEvent instanceof HttpSessionDestroyedEvent) { 
      // do whatever it needs here 
      HttpSession httpSession = ((HttpSessionDestroyedEvent) applicationEvent).getSession();   
     } 

    } 
}