Springでセッションタイムアウトを指定する方法はありますか? web.xml では指定できません。次のようにコントローラーでセッションスコープBeanを使用しているため
spring xml ファイルを使用してコントローラーを構成しました。
class xyzController{
ABCSessionScopeClass objectWhichWillBeStoredInSession;
}
これも使えない
session.setMaxInactiveInterval(60*60);
これを行う他の方法はありますか?セッションごとに、またはすべてのセッションに対して同時にタイムアウトを設定してもかまいません。
Pure Spring MVC、sevlet context.xml を使用したソリューション
<mvc:interceptors>
<bean class="com.xxx.SessionHandler" />
</mvc:interceptors>
ハンドラ アダプタ
@Component
public class SessionHandler extends HandlerInterceptorAdapter {
@Override
public boolean preHandle(HttpServletRequest request, HttpServletResponse response, Object handler) throws Exception {
request.getSession().setMaxInactiveInterval(60*60);
return true;
}
}
春のセキュリティを使用していると仮定すると、
LoginSuccessHandlerログインが成功するたびに、通常のログインとremember-meのauthentication-success-handlerを作成して指定するのが最善の方法だと思います。
@Service
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(
HttpServletRequest request,
HttpServletResponse response,
Authentication authentication) throws ServletException, IOException {
request.getSession().setMaxInactiveInterval(60*60);
super.onAuthenticationSuccess(request, response, authentication);
}
}
<http auto-config="true" use-expressions="true">
<form-login login-page="/login"
authentication-failure-url="/login.hst?error=true"
**authentication-success-handler-ref="loginSucessHandler"** />
<logout invalidate-session="true" logout-success-url="/home" logout-url="/logout" />
<remember-me key="jbcp" **authentication-success-handler-ref="loginSucessHandler"**/>
<session-management>
<concurrency-control max-sessions="1" />
</session-management>
</http>