Java設定session失效的時間(不使用框架)

在一般系統登入後，都會設定一個當前session失效的時間，以確保在使用者長時間不與伺服器互動，自動退出登入，銷燬session
具體設定的方法有三種：
1.在web容器中設定（以tomcat為例）
在tomcat-7.0\conf\web.xml中設定，以下是tomcat7.0中預設配置：

<session-config>
<session-timeout>30</session-timeout>
</session-config>

tomcat預設session超時時間為30分鐘，可以根據需要修改，負數或0為不限制session失效時間
這裡要注意這個session設定的時間是根據伺服器來計算的，而不是客戶端。所以如果在除錯程式，應該是修改伺服器端時間來測試，而不是客戶端

2.在工程的web.xml中設定

<session-config>
<session-timeout>15</session-timeout>
</session-config>

　這裡的15是指15分鐘失效

3.通過java程式碼設定
session.setMaxInactiveInterval(30*60);//以秒為單位，即在沒有活動30分鐘後，session將失效

三種方式優先等級：1 < 2 < 3
在一般系統中，也可能需要在session失效後做一些操作：
1.控制使用者數，當session失效後，系統的使用者數減少一個，控制使用者數量在一定範圍內，確保系統的效能
2.控制一個使用者多次登入，當session有效時，如果相同使用者登入，就提示已經登入了，當session失效後，就可以不同提示，直接登入
那麼如何在session失效後，進行一系列的操作呢？
這裡就需要用到監聽器了，即當session因為各種原因失效後，監聽器就可以監聽到，然後執行監聽器中定義好的程式就可以了
監聽器類為：HttpSessionListener類，有sessionCreated和sessionDestroyed兩個方法
自己可以繼承這個類，然後分別實現
sessionCreated指在session建立時執行的方法
sessionDestroyed指在session失效時執行的方法
例子：

public class OnlineUserListener implements HttpSessionListener{
      public void sessionCreated(HttpSessionEvent event){
                 //session建立時執行操作
      }

      public void sessionDestroyed(HttpSessionEvent event){
            //session失效時執行操作
    }
 }

然後再web.xml中宣告

<listener>
<listener-class
 
>com.demo.OnlineUserListener</listener-class>
</listener>

shiro設定session失效時間

具體設定的方法有兩種：
1、 配置檔案

  <!-- 會話管理器 -->
<bean id="sessionManager" class="org.apache.shiro.web.session.mgt.DefaultWebSessionManager">
    <!-- 設定超時時間 -->
    <property name="globalSessionTimeout" value="1800000"/>
</bean>

2、通過api

Shiro的Session介面有一個setTimeout()方法，登入後，可以用如下方式取得session

SecurityUtils.getSubject().getSession().setTimeout(1800000);

設定的最大時間，正負都可以，為負數時表示永不超時。

SecurityUtils.getSubject().getSession().setTimeout(-1000l);

注意：這裡設定的時間單位是:ms，但是Shiro會把這個時間轉成:s，而且是會舍掉小數部分，這樣我設定的是-1ms，轉成s後就是0s，馬上就過期了。所有要是除以1000以後還是負數，必須設定小於-1000