Java设置session过期时间的几种方法(亲测有效)

1.基本概念

  在Web应用中,Session对象代表了用户从打开浏览器到关闭浏览器的整个访问过程,用于跟踪用户的活动和存储用户特定的数据。Session对象存储了关于用户会话的信息和数据,每当用户访问一个Web应用时,服务器会为该用户创建一个唯一的Session对象。

2.设置Session的过期时间的四种方式

2.1 web容器设置

以tomcat为例,在web.xml配置文件新增或者修改配置项:

<session-config>
    <session-timeout>30</session-timeout>
</session-config> 

注:时间单位为分钟。tomcat默认session超时时间为30分钟,负数或0为不限制session失效时间。

2.2 普通 java web项目

找到java web项目的web.xml文件,新增或者修改如下配置项:

<session-config>
    <session-timeout>30</session-timeout>
</session-config>  

注:时间单位为分钟。默认session超时时间为30分钟,负数或0为不限制session失效时间。

2.3 Spring框架设置

3.1 application.properties方式

# 单位为秒,这里设置Session的过期时间为30分钟   
server.servlet.session.timeout=1800 

3.2 application.yml方式

server:
  servlet:
    session:
      timeout: 1800 # 单位为秒,这里设置Session的过期时间为30分钟    

2.4 java代码设置

当然也可以使用java代码动态地设置Session的过期时间:

HttpSession session = request.getSession();
// 设置1800秒后过期,即30分钟
session.setMaxInactiveInterval(1800);  

注意:四种方式优先等级:1 < 2 =3 < 4

3.注意事项

3.1 优先级

  上述四种方式优先等级为:1 < 2 =3 < 4。简单来说,java代码设置的优先级最高,项目级别设置的其次,容器级别设置的最低。如果设置过期时间使用了多种方式,那么最高优先级的会生效。

3.2 过期时间刷新机制

  session有刷新过期时间的机制,如果在过期时间内再次访问了web项目,那么session的过期时间会重置,从头开始计时。

4.session过期的意义

  设置Session的过期时间有其必要性。首先,防止会话劫持,限制了非法用户访问或窃取其他用户Session的机会。其次,有效管理服务器资源,当用户长时间无活动时,自动结束Session可以释放服务器资源。最后,提升用户体验,频繁要求用户登录验证可能会影响用户体验。