Session物件是HttpSessionState的一個例項。該類為當前使用者會話提供資訊，還提供對可用於儲存資訊會話範圍的快取的訪問，以及控制如何管理會話的方法。下面介紹設定session失效的幾種方法。

在系統登入後，都會設定一個當前session失效的時間，以確保在使用者長時間不與伺服器互動，自動退出登入，銷燬session。

具體設定很簡單，方法有三種：

（1）在主頁面或者公共頁面中加入：session.setMaxInactiveInterval(900);引數900單位是秒，即在沒有活動15分鐘後，session將失效。（這裡要注意這個session設定的時間是根據伺服器來計算的，而不是客戶端。所以如果是在除錯程式，應該是修改伺服器端時間來測試，而不是客戶端。）

（2）也是比較通用的設定session失效時間的方法，就是在專案的web.xml中設定。 

<!-- 設定session失效，單位分 --> 
<session-config> 
    <session-timeout>1</session-timeout> 
</session-config> 

（3）直接在應用伺服器中設定，如果是tomcat，可以在tomcat目錄下conf/web.xml中找到<session-config>元素，tomcat預設設定是30分鐘，只要修改這個值就可以了。

需要注意的是如果上述三個地方如果都設定了，有個優先順序的問題，從高到低：（1）>（2）>（3）

在一般系統中，也可能需要在session失效後做一些操作，

（1）控制使用者數，當session失效後，系統的使用者數減少一個等，控制使用者數在一定範圍內，確保系統的效能。

（2）控制一個使用者多次登入，當session有效時，如果相同使用者登入，就提示已經登入了，當session失效後，就可以不用提示，直接登入了。

那麼如何在session失效後，進行一系列的操作呢？

這裡就需要用到監聽器了，即當session因為各種原因失效後，監聽器就可以監聽到，然後執行監聽器中定義好的程式就可以了。

監聽器類為：HttpSessionListener類，有sessionCreated和sessionDestroyed兩個方法。自己可以繼承這個類，然後分別實現。

sessionCreated指在session建立時執行的方法

sessionDestroyed指在session失效時執行的方法

給一個簡單的例子：

public class SessionListener implements HttpSessionListener{   
    
    public void sessionCreated(HttpSessionEvent event) {   
        HttpSession ses = event.getSession();   
        String id=ses.getId()+ses.getCreationTime();   
        SummerConstant.UserMap.put(id, Boolean.TRUE); //新增使用者   
    }   
    
    public void sessionDestroyed(HttpSessionEvent event) {   
        HttpSession ses = event.getSession();   
        String id=ses.getId()+ses.getCreationTime();   
        synchronized (this) {   
            SummerConstant.USERNUM--; //使用者數減一   
            SummerConstant.UserMap.remove(id); //從使用者組中移除掉，使用者組為一個map   
        }   
    }   
} 

然後只需要把這個監聽器在web.xml中宣告就可以了

<listener>   
    <listener-class>   
        com.demo.SessionListener   
    </listener-class>   
</listener>