在默认情况下,session对象在关闭浏览器后并不是立刻被销毁,因此,为了考虑系统的安全性,在用户退出时,需要即刻清除session对象,防止他人盗用session对象中的信息。清除session信息主要有两种方式,一种是遍历的清除session中的所有属性,另一种是直接设置session失效,两种方式都要在退出的接口中实现,附代码:
HttpSession session = request.getSession();
/* 清除session的方案一 */
Enumeration attributeNames = request.getSession().getAttributeNames();
while (attributeNames.hasMoreElements()) {
session.removeAttribute(attributeNames.nextElement().toString());
}
/* 清除session的方案二 */
session.invalidate();
到这里好像结束了,因为session已经被正确的清除。但是设想一种场景,当用户点击退出的时候,这里记录请求为request1,调用退出接口并清除了相关的session,但是如果用户此刻复制了目标路径,新建了一个窗口,回车进入,此时其实是另一个请求request2了,就是说上一步清除的session信息其实是request1,而request2请求将能正常登入系统。那么应该怎么做呢?这里有两种方案,一是利用Redis,二是采用ThreadLocal。
Redis解决方案
思路:在Redis为每个用户登录的用户名维护一条记录,一定要设置过期时间,一般一个小时。用户每次登录的时候,通过通过拦截器从缓存中查询用户名,如果没有命中,则认为用户未登录过或者登录信息已经失效,引导用户重新登录,用户正确登录之后通过
setnx()方法将用户名插入缓存。用户每次点击退出时,清除本次请求的session信息,并同时将缓存中记录用户名的key同步的删除。
Tips:
setnx()也被经常用作分布式锁,具体可参看博客:
【分布式锁】并发场景下的数据插入
接下来附上利用Redis维护、删除用户登录信息的部分代码:
/* 缓存里记录用户名的key */
private static final String USERNAME = "username_";
public ModelAndView login(HttpServletRequest request,
@RequestParam(value = "username", required = true) String username,
@RequestParam(value = "password", required = true) String password) {
……
String key = USERNAME + username;
/* 把用户信息设置进缓存并设置过期时间 */
redisCacheService.setnx(key, username);
redisCacheService.expire(key, 60 * 60);
……
}
public ModelAndView logout(HttpServletRequest request, @ApiParam("用户名") @RequestParam(value = "username", required = true) String username) {
……
HttpSession session = request.getSession();
session.invalidate();
/* 清除本地缓存 */
String key = USERNAME + username;
redisCacheService.remove(key);
……
}
然后在登录拦截器中设置每次从request中获取到用户信息之后,再和Redis中的去比较,如果缓存中没有命中,则视本次请求中的用户登录信息已经过期,需要跳转到登录页面。
import org.apache.commons.lang3.StringUtils;
public class LoginInterceptor implements HandlerInterceptor {
/* 缓存里记录用户名的key */
private static final String USERNAME = "username_";
@Override
public boolean preHandle(HttpServletRequest servletRequest, HttpServletResponse servletResponse, Object o) throws Exception {
servletRequest.setCharacterEncoding("UTF-8");
servletResponse.setContentType("application/json;charset=utf-8");
ServletOutputStream outputStream = servletResponse.getOutputStream();
HttpSession session = servletRequest.getSession();
Object userNameObject = session.getAttribute("userName");
String userName = userNameObject != null ? userNameObject.toString() : null;
if (userName == null) {
servletResponse.setStatus(HttpServletResponse.SC_OK);
String res="登录失败,未获取到用户登录信息~";
outputStream.write(JsonUtils.toJson(res).getBytes("UTF-8"));
return false;
}
/* 和本地缓存中的比较 */
String key = USERNAME + userName;
String value = (String) redisCacheService.get(key, String.class, new CacheCallable() {
@Override
public Object getCacheValue() throws Exception {
return null;
}
});
/* 若未命中缓存,说明用户登录信息已失效,引导用户重新登录 */
if (StringUtils.isBlank(value)) {
return false;
}
return true;
}
}
ThreadLocal解决方案
待补充。
参考阅读
如何解决每次向后台发起请求时判断用户是否处于登录状态?