Исключить некоторые URL-адреса из таймаута сеанса

Question

У меня есть веб-приложение с 30-минутным таймаутом сеанса. Дизайн заключается в том, что при отходе сеанса пользователь автоматически выходит из системы и ему необходимо снова войти в систему.

Проблема в том, что у меня есть тикер новостей на моей веб-странице, который каждые 5 минут обновляется через вызов AJAX. Атрибут newsticker AJAX естественно сбрасывает тайм-аут сеанса, поэтому пользователи не выходят из системы.

Я думал о внедрении своего детектора бездействия, написав фильтр, который обновляет переменную lastActive (хранящуюся в сеансе) всякий раз, когда пользователь получает/публикует страницу, за исключением тикера новостей.

Тогда я думал, может быть, есть способ исключить определенные вызовы из сброса таймаута сеанса. Поэтому я искал и нашел несколько ответов, относящихся к asp, но ничего для jsp и Weblogic.

Есть ли способ исключить определенные URL: s из сброса таймаута сеанса?

Answer 1

Поскольку я не мог найти способ сделать это по конфигурации, я закончил тем, что написал фильтр, который делает недействительным сеанс, когда прошло достаточно времени без активности пользователя. У меня уже был другой фильтр, который перенаправляет пользователей без сеанса на страницу входа. Я добавил SessionTimeoutFilter непосредственно перед фильтром авторизации в цепочке фильтров.

Код ниже немного лишен. Я удалил все внутренние зависимости, поэтому все значения жестко запрограммированы.

public class SessionTimeoutFilter 
    implements Filter 
{ 
    private final long TIMEOUT = 1800L; // 30 minutes in seconds 
    private final String LAST_ACTIVITY = "LAST_ACTIVITY"; 

    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) 
     throws IOException, ServletException { 

     if (request instanceof HttpServletRequest) { 
      HttpServletRequest theRequest = (HttpServletRequest) request; 
      Long now = (new Date()).getTime(); 

      HttpSession session = theRequest.getSession(false); 
      if (session != null) { 
       Long lastActivity = (Long) session.getAttribute(LAST_ACTIVITY); 

       if (lastActivity == null) { 
        // The first call for this session. 
        lastActivity = now; 
       } 
       if (now - lastActivity > TIMEOUT*1000L) { 
        // User timed out. 
        session.invalidate(); 
       } else if (isUserCall(theRequest)) { 
        // Reset inactivity timer 
        session.setAttribute(LAST_ACTIVITY, now); 
       } 
      } 
     } 
     chain.doFilter(request, response); 
    } 

    /** 
    * @return true if the URI indicates user activity, 
    *   false if it is an automatic call 
    */ 
    private boolean isUserCall(HttpServletRequest request) { 
     String uri = request.getRequestURI(); 
     if (uri.contains("NewsTicker")) { 
      return false; 
     } 
     return true; 
    } 

Answer 2

@Klas Lindback: У меня нет достаточно привилегий для comment.So я отправляю это как answer.To найти последнюю активность, не нужно вручную calculation.Try следующий метод

session.getLastAccessedTime() 

Oracle docs

в любом случае это не изменит вашу реализацию