如何区分Tomcat容器的会话超时和用户的注销链接？

Question

有没有办法区分 Tomcat容器的会话超时和用户按下的注销链接强>?

EDIT1：我的环境详细信息：Java 1.8，Apache Tomcat 8.0.36 Windows服务器 2012

我有一个实现javax.servlet.http.HttpSessionListener 的MyHttpSessionListener 类

public class MyHttpSessionListener implements HttpSessionListener {         
    @Override
    public void sessionCreated(HttpSessionEvent httpSessionEvent) {
        System.out.println(httpSessionEvent.getSession().getId()+" was CREATED");
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent httpSessionEvent) {
        System.out.println(httpSessionEvent.getSession().getId()+" was DESTROYED");
    }
}

以及web.xml 文件中的相应配置声明

<listener>
    <listener-class>com.webapp.listeners.MyHttpSessionListener</listener-class>
</listener>

我的 web 应用程序没有使用 Spring Security。

Answer 1

HttpSessionListener 将在 Servlet 级别处理它。这里一个重要的问题是您使用的是哪个应用程序/Web 服务器？ 你需要看看SessionDeletedEvent and SessionExpiredEvent
现在试试SessionDestroyedEvent

@Component
public class SessionEndedListener implements ApplicationListener<SessionDestroyedEvent> {

    @Override
    public void onApplicationEvent(SessionDestroyedEvent event)
    {
        for (SecurityContext securityContext : event.getSecurityContexts())
        {
            Authentication authentication = securityContext.getAuthentication();
            YourPrincipalClass user = (YourPrincipalClass) authentication.getPrincipal();
            // do something
        }
    }

}

你还需要在web.xml注册这个

<listener>
    <listener-class>
        org.springframework.security.web.session.HttpSessionEventPublisher
    </listener-class>
</listener>

更新答案
在最近的编辑之后，现在对于这种情况，您需要使用

HttpSessionBindingListener

当从会话中删除对象时调用它（通过HTTPSession 的removeAttribute() 方法或通过会话的失效/过期显式调用）。

Answer 2

你可以解析会话 lastAccessTime，如果是前一段时间（配置的过期时间），那么它就过期了。