Java Web Application使Session永不失效(利用cookie隐藏登录)
在做 Web Application 时,因为 Web Project 有 session 自动失效的问题,所以如何让用户登录一次系统就能长时间运行三个月,就是个问题。
后来,看到 session 失效的拦截器代码,就猜想能否通过拦截器来实现。
查资料发现可行:用户登录时将帐号密码存入cookie,cookie可以存储1年至更久,当session失效被拦截时,在拦截器内读取cookie 中的用户名和密码后再登录。(登录过程隐藏对用户不可见)。
在实践过程中遇到个问题: 在拦截器内重新实现登录过程(包括写session),此时写session是成功的,但是返回被拦截器拦截的 Action 方法内时,Action 内的方法读取的session却是空的。(2017-06-12 更新,出错原因是保存的sesion和读取的session分别是Strut2包装的session和JSP/Sevlert内置的session,导致读取为空,参见)
方法一:设置 session-timeout 参数值
最简单的办法是,在Java Web 中可通过设置 web.xml 中的 session-timeout 为 -1 即可实现 session 永不失效。
Java Web中有关 Session 失效的设置有三处:
1. 页面或者代码内通过 session.setMaxInactiveInterval
2. 项目的web.xml 中的 session-timeout (验证有效)
3. Tomcat 的 server.xml 中的 (该方法本文未验证,网上搜集)
<Context path="/livsorder" docBase="/home/httpd/html/livsorder" defaultSessionTimeOut="3600" isWARExpanded="true" isWARValidated="false" isInvokerEnabled="true" isWorkDirPersistent="false"/>
4. Tomcat 的 web.xml 中的 (该方法本文未验证,网上搜集)
<session-config> <session-timeout>30</session-timeout> </session-config>
分别对应:
1. 当前会话生效
2. 整个Web应用有效
3. 不详
4. 不详
设置产生效果的优先顺序很显然是:1 -> 2 ,没有指明就是用默认设置。
另外: setMaxInactiveInterval的参数是秒,session-config当中配置的session-timeout是分钟。 设置session-timeout是永久有效。【setMaxInactiveInterval(-1)也是元永久有效(本人未测试)】。测试是否是永久有效很简单,只需要在本地测试(localhost)时,将本机的时间调整为几个月之后即可。
但在实际使用中并不理想,因为超出 tomcat 的默认是 30 分钟,如果修改 tomcat 默认值,会影响其他项目不说,也很容易遗忘,对今后产生莫名其妙的问题。
方法二:使用 Struts2 拦截器
原理:在使用了 Struts 框架的代码中,使用拦截器,测试Session 是否为空,若是空,利用 cookie 里藏的用户名和密码进行登录,并保存到 session 中。
代码:(本人亲测,实际使用)
1. 登录保存到 Struts2 包装的 session中(注意,前后session要对应)
根据项目需要,可决定是否加密。我示例未加密。
// 你的登录方法内部 // user 是登录成功后的用户对象 ActionContext.getContext().getSession().put("user", user); //创建或覆盖COOKIE Cookie ckName = new Cookie("jsjgUserName", username); Cookie ckPwd = new Cookie("jsjgUserPwd", password); ckName.setMaxAge(365*24*60*60); ckPwd.setMaxAge(365*24*60*60); response.addCookie(ckName); response.addCookie(ckPwd);
2. 拦截器代码
package com.tools; import java.util.Map; import javax.servlet.ServletContext; import javax.servlet.http.Cookie; import javax.servlet.http.HttpSession; import org.apache.struts2.ServletActionContext; import org.apache.struts2.StrutsStatics; import org.springframework.context.ApplicationContext; import org.springframework.web.context.support.WebApplicationContextUtils; import com.opensymphony.xwork2.ActionInvocation; import com.opensymphony.xwork2.interceptor.Interceptor; import com.zhzx.class_entity.User; import com.zhzx.service.UserService; @SuppressWarnings("serial") public class MyInterceptor implements Interceptor { public void destroy() { } public void init() { } public String intercept(ActionInvocation actionInvocation) throws Exception { // 确认Session是否过期 Map strutSession = actionInvocation.getInvocationContext().getSession(); Cookie[] cookies = ServletActionContext.getRequest().getCookies(); User us=(User) strutSession.get("user"); String userName = ""; String userPwd = ""; if (us!=null&&!"".equals(us)) { return actionInvocation.invoke(); } else { //从cookie得到登录账户 if(cookies != null){ for(Cookie cookie:cookies){ if(cookie.getName().equalsIgnoreCase("jsjgUserName")){ userName = cookie.getValue(); System.out.println(userName); }else if(cookie.getName().equalsIgnoreCase("jsjgUserPwd")){ userPwd = cookie.getValue(); } } //登录 if(userName != null && userPwd != null){ //因项目使用了SSH,所以这里是获取Spring管理的bean ServletContext context = (ServletContext) actionInvocation.getInvocationContext().get(StrutsStatics.SERVLET_CONTEXT); ApplicationContext ctx = WebApplicationContextUtils.getWebApplicationContext(context); UserService userService = (UserService)ctx.getBean("UserService"); //是否注入成功 System.out.println(userService); //登录并放入Strtu2包装的session User user=userService.Login(userName); if(user != null && user.getPassword().toLowerCase().equals(userPwd.toLowerCase())){ strutSession.put("user", user); } return actionInvocation.invoke(); } } return "timeout"; } } }
然后拦截器按照常规方法使用即可。拦截器可以看看 Struts in Action ,Struts实战之类的书及PDF,有详细的讲解和例子。
吐槽:Java是太庞杂了,框架多不说,使用起来也方法各样,一会儿流行配置文件,一会儿流行注解,一会SSH,一会SSM,一会Sping MVC。
我就想说这不都是自己折腾自己么,学习成本不是成本么,发明出这么多轮子,软件行业不还是加班。旧的软件项目不还是要维护。
Java体系真是自己折腾自己,真心无爱了。
我觉得框架只是工具,就像武侠世界里,真正的高手是用什么工具都可以杀人于无形,那管你是用很多人鄙视的 ASP.NET 还是自以为很牛逼的Java Web,
甲方和老板关心的无非是你做完了么,做的好看么,是不是?
程序员,工程师们还是消停点好,多关心下自己的健康和身边的人不好么?
