我已将我的 WebSphere 中的会话超时设置为 3 分钟(考虑一下。我设置的实际超时为 30 分钟)。我让我的应用程序保持打开状态,只需将鼠标移到 J2EE 应用程序上并进行一些按键操作,这不会提交任何页面。即使在 3 分钟后,应用程序的会话也会被保留。我需要确认当某些鼠标移动/按键发生时会话是如何保留的?未向服务器发送请求或未完成页面提交。
我的应用程序的会话超时仅在服务器中维护。
谢谢。
【问题讨论】:
标签: session jakarta-ee websphere-7 httpsession
这听起来像是因为 WebSphere 使用 LTPA 令牌进行身份验证。总结:
来自http://www-01.ibm.com/support/docview.wss?uid=swg21078845:
问题 3
我想强制我的用户在设置的“不活动超时”时间段后重新登录。 WebSphere Application Server 在会话超时和 LTPA 超时方面应该如何工作。
答案 3
在以下 developerworks 文章的第 9 项中查看此问题的答案: http://www.ibm.com/developerworks/websphere/techjournal/1003_botzum/1003_botzum.html
从那个链接你学到:
9- 我想强制我的用户在设置的“不活动超时”时间段后再次登录。 WebSphere Application Server 应该如何处理会话超时和 LTPA 超时?
WebSphere Application Server LTPA 令牌根据登录会话的生命周期而不是不活动来过期。因此,如果用户在一段时间内不执行任何操作,WebSphere Application Server 登录会话将不会过期。但是,HTTPSession 确实会因不活动而过期。如果在您的应用程序中,您需要基于空闲状态使应用程序的使用到期,您必须在您的应用程序中显式地对此进行编码。您可以捕获用户何时以过期会话(实际上是一个新会话)到达,并在您认为有必要时强制他们再次登录。请记住,这样做会破坏跨应用程序的单点登录。
第二种方法与第一种方法略有不同,它是使用 HTTPSession.getLastAccessTime() 来计算最后一次客户端请求发生的时间。如果时间过去太久,您当然可以使访问失败并强制进行新的身份验证。 通过使用 servlet 过滤器,这些方法中的任何一种都可以对应用程序代码透明。
应该注意的是,IBM Tivoli® Access Manager 提供了基于生命周期和基于空闲的身份验证会话超时。
用户经常问为什么 WebSphere Application Server 以这种方式工作。为什么它不能超时空闲登录会话?原因是因为 WebSphere Application Server 从根本上说是一个松散耦合的分布式系统。参与 SSO 域的应用程序服务器不需要相互通信。他们甚至不必在同一个牢房里。因此,如果您想限制 LTPA 令牌(又名 SSO 令牌)的空闲寿命,您必须使用每个请求的最后使用时间(或者可能在一分钟间隔内看到的第一个请求)更新令牌本身)。这意味着令牌本身会经常更改(意味着浏览器会频繁地接受新的 cookie),并且 WebSphere Application Server 必须在看到验证入站令牌时对其进行解密和验证。这可能会很昂贵(今天的 WebSphere Application Server 仅在每个应用程序服务器首次使用时验证令牌)。通过巧妙的缓存等方法解决这些问题并非不可能,但这不是 WebSphere Application Server 今天的工作方式。
【讨论】: