会话覆盖实现

Question

我正在为我的 Web 应用程序使用 Spring Boot、AngularJS 和 REST。我还使用 JWT/oAuth 令牌进行用户身份验证和授权，暗示会话是无状态的。

我们有一个要求，其中不允许用户重复会话。

我已经实现了一种方法，如果用户从同一机器或任何其他机器的任何其他浏览器登录，则会显示会话覆盖确认消息。

如果会话被覆盖，那么只要用户尝试执行任何活动，第一个会话就会终止。
为此，该用户的最后一个令牌生成时间保存在服务器内存中。
如果传入的令牌生成时间与内存中的时间匹配，则授予访问权限，否则抛出会话过期错误。
当用户成功注销时，该用户的条目会从内存中清除，新的身份验证请求不会引发会话覆盖错误。

现在发生的情况是，每当用户没有成功注销并且只是关闭浏览器窗口时，服务器值就不会被清除。 当用户尝试再次登录时，会抛出会话覆盖消息，即使（从用户的角度来看）没有重复的会话。

我的问题是：有什么方法可以避免在上述情况发生时显示会话覆盖消息，但同时在用户真的尝试重复会话时显示覆盖消息?

是否有任何应用程序/设计可用于处理此类情况？

欢迎任何建议/想法。

Answer 1

当我需要检测用户是手动注销还是会话超时（通常他们只是关闭浏览器而忘记注销）时，我有类似的情况。

我所做的是利用弹簧ApplicationListener

public class SessionAuditListener implements ApplicationListener<ApplicationEvent> {

    @Override
    public void onApplicationEvent(ApplicationEvent applicationEvent) {
        if (applicationEvent instanceof HttpSessionDestroyedEvent) {
            // do whatever it needs here
            HttpSession httpSession = ((HttpSessionDestroyedEvent) applicationEvent).getSession();          
        }

    }
}