Anfrage.getSession(false) nicht null zurückgeben nach dem Aufruf von session.invalidate()

Sollte nicht ungültig werden zu einer Sitzung verursachen request.getSession(false) null zurück? In meinem logout-servlet-ich nenne 

session.invalidate();

und in meinem login-status-filter nenne ich

request.getSession(false);

Den Aufruf von getSession(false) nie null zurück, sondern alle Attribute im Zusammenhang mit dem session-Objekt zurückgegeben werden, null. Ich derzeit herauszufinden, ob ein Benutzer angemeldet ist, sich durch die Suche nach null-Attribute, aber dies scheint nicht richtig.

  • Es könnte etwas anderes läuft in zwischen (nach dem erlöschen und vor getsession), die Erstellung der session. Verwenden Sie plain servlets oder noch etwas anderes (speziell die eine, die erfordert Sitzung, z.B. component based frameworks wie JSF können eingestellt werden, speichern Sie die Staaten auf dem server erfordert Sitzung)?
  • Plain servlets keine Rahmen
  • Ich werde schauen Sie sich um und sehen, ob ich bin der übeltäter Berufung verlangen.getSession(true) irgendwo.
  • Wie sind Sie auf die Navigation von Logout Servlet zu LoginStatus filter, nach der Sitzung ungültig?
  • Der logout-servlet wird aufgerufen, wenn Sie auf "an - /Abmelden", aber der logout-status-filter Filter jede Anfrage, so dass, wenn ein Benutzer eingeloggt ist und geht auf der homepage sehen Sie die Mitglieder-Seite anstatt der login-Bildschirm. Es funktioniert alles. Ich war gerade wählerisch, tatsächlich das töten einer Sitzung und nicht nur Strippen es Attribute, die angezeigt wird, werden alle session.invalidate() eigentlich tut.
InformationsquelleAutor Usman Mutawakil | 2013-01-28
  1. 10

    Ich derzeit herauszufinden, ob ein Benutzer angemeldet ist, sich durch die Suche nach null-Attribute

    Das ist auch die normale Vorgehensweise. Um zu überprüfen, ob ein Benutzer angemeldet ist, sollten Sie sicherlich nicht überprüfen, wenn der servletcontainer erzeugt hat, die Sitzung oder nicht. Diese repräsentieren nicht die angemeldeten Benutzer.

    Auf login, nur die user-model-Objekt in der session-scope ohne zu prüfen, ob die container geschaffen hat, die Sitzung für Sie. In anderen Worten, verwenden Sie einfach getSession() ohne Boolesches argument, so dass der container wird automatisch erstellen Sie, falls nötig, müssen die Sitzung an dieser Stelle trotzdem:

    @Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    String username = request.getParameter("username");
    String password = request.getParameter("password");
    User user = userService.find(username, password);

    if (user != null) {
        request.getSession().setAttribute("user", user);
        response.sendRedirect(request.getContextPath() + "/home");
    } else {
        request.setAttribute("message", "Unknown login. Please retry.");
        request.getRequestDispatcher("/WEB-INF/login.jsp").forward(request, response);
    }
}

    On-access-Filterung, nur prüfen, ob die session-Attribut repräsentiert den angemeldeten Benutzer vorhanden ist, verwenden Sie nur getSession(false) hier zur Vermeidung unnötiger Sitzung Schöpfung, die ansonsten zum Beispiel such-Roboter auslösen würde der session-Erzeugung ist völlig unnötig:

    @Override
public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException {
    HttpServletRequest request = (HttpServletRequest) req;
    HttpServletResponse response = (HttpServletResponse) res;
    HttpSession session = request.getSession(false);
    User user = (session != null) ? (User) session.getAttribute("user") : null;
    String loginURL = request.getContextPath() + "/login"; 

    if (user == null && !request.getRequestURI().equals(loginURL)) {       
        response.sendRedirect(loginURL);
    } else {
        chain.doFilter(request, response);
    }
}

    Auf Abmelden, stellen Sie sicher, dass Sie senden eine Umleitung nach ungültig, weil die aktuelle session noch verfügbar ist, in der Antwort eine vorwärts.

    @Override
protected void doPost(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
    request.getSession().invalidate();
    response.sendRedirect(request.getContextPath() + "/login");
}
    • Genau hier liegt der Ansatz, den ich dabei gewesen. Die Tatsache, dass das session-Objekt wurde noch "gültig" nach ungültig, es machte mich nervös, ich war etwas falsch, aber es sieht aus wie das gold liegt in den Attributen, so dass ich werde bleiben. Danke.
    • Ich vermute, dass der redirect ist eine schnellere Methode zwingt den browser den cache zu löschen, im Gegensatz zu dem Ansatz, die hier angegeben stackoverflow.com/questions/4194207 ?
    • Die Verhinderung der browser-cache, um die eingeschränkten Seiten löst ein ganz anderes problem, als gefragt/beantwortet. Wenn Sie nicht deaktivieren Sie browser-cache, dann wird der enduser kann man noch die eingeschränkte Seiten auf drücken der zurück-Taste. Wenn Sie deaktivieren Sie den browser-cache, dann den Anwender werden automatisch auf die login-Seite auf, drücken Sie die zurück-Taste.
    • Was ist der Zweck der Umleitung dann, wenn Ihr nicht verwenden, um eine Aktualisierung erzwingen?
    • Weil, wie gesagt, die aktuelle session noch verfügbar ist, in der Antwort eine vorwärts.
    • könnte man erweitern auf die Logik, warum Sie sich entschieden haben, verwenden Sie sendRedirect und RequestDispatcher in der Weise wie du es getan hast mit der LoginServlet Beispiel?

    InformationsquelleAutor BalusC
  2. 2

    für jede servlet-oder jsp-Sie Reisen, sollten Sie rufen

    request.getSession(false);

    außer Euch ersten Seite, wo Sie die sessionby 

    request.getSession(true);

    wenn Sie dont call 

    request.getSession(false);

    dann die Sitzung nicht durchgeführt, bis diese Seite
    also, bevor Sie anrufen

    session.invalidate();

    stellen Sie sicher, Sie sind die Fortsetzung der Sitzung an, dass die Seite durch den Aufruf

    request.getSession(false);
    • Danke für die Antwort. Aufruf von getSession(true) würden niemals null zurück. Das problem ist, dass ich getSession(false) nicht null zurückgeben, wenn es sollte. Zum Beispiel, läuft der code, den ich zuvor angegebenen Benutzer können weiterhin auf Seiten, die erfordern, dass getSession(false)!=null
    • Sie sind dem Aufruf "session.invalidate();" ryt ?? sind Sie sicher, dass die Seite, wo yo nennen diese Linie ist die Versammlung , wenn nicht , plz call "request.getSession(false);" - Zeile in der Seite , vielleicht habe ich m nicht immer dein prob richtig , aber nachdem sicherstellen, dass wir bekommen können, um zu verstehen,
    • Ja. Ich habe immer anrufen getSession(false) außer wenn ich eine Sitzung erstellen wollen, bei der Anmeldung. Ich verstehe das Konzept und ich bin in der Lage, um sich anzumelden und Zugriff auf alle Funktionen, die erforderlich gespeicherten Attribute in meiner Sitzung. Das problem ist, wenn ich versuche, Abmelden-alles, was geschieht, wenn die Stornierung einer Sitzung ist, dass alle Attribute entfernt werden, aber die session nicht null. Ich dachte, es war mein code, aber ich denke, dass ist einfach wie es ist. Danke für die Hilfe trotzdem.
    InformationsquelleAutor Hussain Akhtar Wahid 'Ghouri'
Schreibe einen Kommentar