我在 tomcat 中使用 java servlet API。
我将用户名和带有属性 username 的 httpsession 保存在哈希表中,我想知道是否有办法检查 httpsession 是否有效。
我试过了:
try {
String user = httpSession.getAttribute("username")
return "is valid";
} catch (IllegalStateException e) {
return "is not valid";
}
如果我不希望“登录”用户从多个地方连接,我该怎么办?如果我只控制是否创建一个新会话,我无法知道他是否已经与另一个会话连接。
【问题讨论】:
标签: java servlets httpsession
与其检查保存的会话是否有效,不如查看 servlet 上的 HttpServletRequest,然后检查 isRequestedSessionIdValid()。在 servlet 中工作时,您始终可以从 Request 获取 Session,而不是将其保存到哈希表中。
【讨论】:
无需将 httpSession 存储在您自己的哈希中。
查看HttpServletRequest 的 API。如果您查看方法 getSession(Boolean x)(传递 false,因此它不会创建新会话)将确定会话是否有效。
这是一个例子
public void doGet(HttpServletRequest req, HttpServletResponse res) {
HttpSession session = req.getSession(false);
if (session == null) {
//valid session doesn't exist
//do something like send the user to a login screen
}
if (session.getAttribute("username") == null) {
//no username in session
//user probably hasn't logged in properly
}
//now let's pretend to log the user out for good measure
session.invalidate();
}
附带说明,如果我正确阅读了您的问题并且您将信息存储在自己的地图中,则需要注意不要造成内存泄漏并自己清除哈希表中的条目.
【讨论】:
我同意肖恩的观点。我要补充一点,这种检查的一个好习惯是使用过滤器
请看这里Servlet Filter
只需将 Sean 编写的代码放入过滤器即可。在 web.xml 中定义你的过滤器,每次有请求进来,过滤器就会执行。
这样你就可以验证用户是否是auth。不会弄乱你的 servlet 代码。
【讨论】: