Q&A
セッションタイムアウトと言っても、「ブラウザは開いているけど」タイムアウトした場合と、「ブラウザを閉じてしまって」そのままタイムアウトと言う場合などいくつか考えられますが、後者の方の対応は不要ということで間違いないでしょうか。
前提・実現したいこと
セッションタイムアウト時に、ブラウザ側の操作を行なわずにタイムアウトを検知し、タイムアウトした旨をログに出力したいと考えています。
1つ考えた方法としてはセッションタイムアウトが想定される時間をjavascriptで計って、タイムアウトしてそうであればサーバーにリクエストを送って判断させる方法なのですが、これでは確実にタイムアウトを検知できる保障が無いと考えました。
検索してみたのですが、そういったことが可能なのかどうか判断できませんでした。
こういったことは可能なのでしょうか。何かツールやソフトを利用すればできるといった情報、また関連するキーワード等なにかご存知であれば教えていただければと思います。
###追記
可能であればブラウザを閉じていたとしてもそれを判断させたいです。
ログインを行なうシステムを想定しているため、ブラウザを閉じても次回ログイン時に前回のセッションIDを利用して判断は可能かと考えましたが、これでは次にログインしてくれない限りログが残らなくなってしまいます。
何か他の方法があればご教示願います。
###解決方法
LogoutListener.javaを作成
java
1package co.jp.health.common.config; 2 3import java.util.List; 4 5import org.springframework.context.ApplicationListener; 6import org.springframework.security.core.context.SecurityContext; 7import org.springframework.security.core.session.SessionDestroyedEvent; 8import org.springframework.security.core.userdetails.UserDetails; 9import org.springframework.stereotype.Component; 10 11@Component 12public class LogoutListener implements ApplicationListener<SessionDestroyedEvent> { 13 14 @Override 15 public void onApplicationEvent(SessionDestroyedEvent event) 16 { 17 System.out.println("onApplicationEvent が呼ばれました" + event.toString()); 18 List<SecurityContext> lstSecurityContext = event.getSecurityContexts(); 19 UserDetails ud; 20 for (SecurityContext securityContext : lstSecurityContext) 21 { 22 ud = (UserDetails) securityContext.getAuthentication().getPrincipal(); 23 // ... 24 } 25 } 26 27} 28
WebSecurityConfigurerAdapterを継承したクラスに以下の記述を追加
java
1 @Bean 2 public DefaultAuthenticationEventPublisher defaultAuthenticationEventPublisher() { 3 return new DefaultAuthenticationEventPublisher(); 4 }
この記述をすることで、セッションタイムアウト時にLogoutListenerクラスのonApplicationEventが呼ばれました。
セッションタイムアウトが起きたタイミングで正確に呼ばれるわけではありませんが、引数のeventにセッションタイムアウトがおきた際のタイムスタンプが記録されていたのでこれでタイムアウトの時間を判断できました。
回答4件
0
ベストアンサー
Springに詳しくないこともあって、どれくらい今回の用途に役に立つかも判断しきれないのですが、セッション切断時にSessionDestroyedEventが起きるので、それを拾う、というような方法があるようです(StackOverflow)。
投稿2018/06/04 02:15
総合スコア145183
>maisumakun様
回答ありがとうございます。まさに求めていた機能でした!私の調べたりなかったようです・・・ありがとうございました。質問文にもSessionDestroyedEventを利用した解決方法を追記させていただきました。
0
maisumakunさんの回答と同じですが、サーブレットの sessionDestroyedイベントを拾ってログに記録する方法が考えられます。
ちょっと検索したらTomcat環境でのWeb.xmlの記述方法と、イベントハンドラーのコードサンプルがありました。
Hooking Up HTTPSessionListener with Tomcat
ご参考になれば。
投稿2018/06/04 02:46
総合スコア2425
>tkandaさん
回答ありがとうございます。回答が早かったためBAはmaisumakun様にさせていただきましたがこちらも参考になりました。ありがとうございました。
0
だとログだせなかったということ?
投稿2018/06/04 02:14
退会済みユーザー
総合スコア0
>asahina1979様
回答ありがとうございます。私が試した限りだと、HttpSessionListenerはクライアントから操作を行なわないと呼ばれず、完全に無操作な状態だといつまでたっても呼ばれない形になってしまいました。定期的にリクエストを送る方法以外に何かあればと思い質問させていただきました。
0
いずれにしてもサーバー側に何らかの方法でアクセスしなければなりません。
例えばJavaScriptでsetTimeout()で繰り返しAjaxにてサーバーにアクセスし、セッション有効の有無を確認するやり方はいかがでしょうか。
無であればログ出力、有であれば継続。
ただ、実際は用途によります。
セッションが切れていればいずれにしてもセッション有効時の処理は行わせないのが原則なので、
画面無操作時間が長時間に渡る時場合で何かしようとした際は、リクエストの初っ端でセッション有無を確認してしまえはひとまず回避は可能かと(セキュリティ的にどこまで万全かは置いといて)
投稿2018/06/04 01:47
総合スコア80850
回答ありがとうございます。やはり定期的にjavascriptでチェックする形が現実的でしょうか。可能であればブラウザを閉じていてもそれを検知したいのですが現実的ではなさそうですね・・・。
SpringやJavaの機能を度外視しての回答なのであくまで一例として捉えていただければと。
あなたの回答
tips
プレビュー
