19--会话管理之处理会话过期

前言

在上一章节中，一一哥 给各位讲解了HTTP协议、会话、URL重新、会话固定攻击等概念，并且实现了对会话固定攻击的防御拦截。

在Spring Security中，其实除了可以对会话固定攻击进行拦截之外，还可以对会话过期进行处理，也就是会话可能会过期，过期了该怎么处理。接下来请各位跟着 壹哥 继续学习，看看会话过期时到底怎么处理的吧。

一. 会话过期

1. 会话过期概念

在处理会话过期之前，我们首先得知道啥是会话过期。

所谓的会话过期，是指当用户登录网站后，较长一段时间没有与服务器进行交互，将会导致服务器上的用户会话数据(即session)被销毁。此时，当用户再次操作网页时，如果服务器进行了session校验，那么浏览器将会提醒用户session超时，导致这个问题的关键词有两个：一个是「长时间」，一个是**「未操作」**。

2. Session的超时时间

既然会话会过期，就得有个过期时间，默认情况下，Session的过期时间是30分钟，当然我们可以在yml配置文件手动修改会话的过期时间。

server:
  servlet:
    session:
      #会话过期时间默认是30m过期,最少为1分钟
      timeout: 60s

另外会话的过期时间最少为1分钟，即便我们设置为小于60秒，也会被修正为1分钟，在Spring Boot的TomcatServletWebServerFactory类中，对此有默认实现，源码如下：

private long getSessionTimeoutInMinutes() {
	Duration sessionTimeout = getSession().getTimeout();
	if (isZeroOrLess(sessionTimeout)) {
		return 0;
	}
	return Math.max(sessionTimeout.toMinutes(), 1);
}

private boolean isZeroOrLess(Duration sessionTimeout) {
	return sessionTimeout == null || sessionTimeout.isNegative() || sessionTimeout.isZero();
}