??在Web应用中,Session对象代表了用户从打开浏览器到关闭浏览器的整个访问过程,用于跟踪用户的活动和存储用户特定的数据。Session对象存储了关于用户会话的信息和数据,每当用户访问一个Web应用时,服务器会为该用户创建一个唯一的Session对象。
以tomcat为例,在web.xml配置文件新增或者修改配置项:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
注:时间单位为分钟。tomcat默认session超时时间为30分钟,负数或0为不限制session失效时间。
找到java web项目的web.xml文件,新增或者修改如下配置项:
<session-config>
<session-timeout>30</session-timeout>
</session-config>
注:时间单位为分钟。默认session超时时间为30分钟,负数或0为不限制session失效时间。
3.1 application.properties方式
# 单位为秒,这里设置Session的过期时间为30分钟
server.servlet.session.timeout=1800
3.2 application.yml方式
server:
servlet:
session:
timeout: 1800 # 单位为秒,这里设置Session的过期时间为30分钟
当然也可以使用java代码动态地设置Session的过期时间:
HttpSession session = request.getSession();
// 设置1800秒后过期,即30分钟
session.setMaxInactiveInterval(1800);
注意:四种方式优先等级:1 < 2 =3 < 4
??上述四种方式优先等级为:1 < 2 =3 < 4。简单来说,java代码设置的优先级最高,项目级别设置的其次,容器级别设置的最低。如果设置过期时间使用了多种方式,那么最高优先级的会生效。
??session有刷新过期时间的机制,如果在过期时间内再次访问了web项目,那么session的过期时间会重置,从头开始计时。
??设置Session的过期时间有其必要性。首先,防止会话劫持,限制了非法用户访问或窃取其他用户Session的机会。其次,有效管理服务器资源,当用户长时间无活动时,自动结束Session可以释放服务器资源。最后,提升用户体验,频繁要求用户登录验证可能会影响用户体验。