【springboot/springsecurity】session超时时间设置_spring.session.timeout

项目源码地址 https://github.com/nieandsun/security

1 springboot项目session超时时间设置

springboot项目session超时时间设置很简单，只需要在yml或properties文件里进行配置一下就可以了，我现在用的springboot的版本是2.1.7.RELEASE，在yml里配置如下：

server:
  servlet:
    session:
      timeout: 600 # session超时时间为600秒
1
2
3
4

注意1：早一点的springboot版本如1.5.6.RELEASE的配置可能如下：

server:
  session:
    timeout: 600 # session超时时间为600秒
1
2
3

注意2：如果设置的超时时间不满一分钟，将按一分钟来算，超过1分钟才按照你设置的超时时间来算。

• springboot的版本为2.1.7.RELEASE的可以参看TomcatServletWebServerFactory这个类里对session-timeout的控制
• springboot的版本为1.5.6.RELEASE的可以参看TomcatEmbeddedServletContainerFactory这个类

---

---

2 springsecurity下如何通知用户session超时

在之前实现的代码里，是没对用户session超时做过特殊处理的，因此当session超时的时候会走之前写的用户认证失败的逻辑，即

• 访问url里以.html结尾时重定向到登陆页
• 不以.html结尾时则返回一个json字符串

那如果是session超时的情况下，如何给用户一个特殊的提示，告诉他们是因为session超时引起的认证、校验失败呢？需要如下三步：

2.1 在配置文件BrowserSecurityConfig里加上session超时跳向的url

 .sessionManagement() //session超时管理
 .invalidSessionUrl("/session/invalid") //session超时跳向的url
1
2

2.2 在配置文件BrowserSecurityConfig里为指定session超时跳向的url授权

2.3 写一个controller方法来处理session超时的提示逻辑

    /***
     * session超时的时候会请求该方法
     * @return
     */
    @GetMapping("/session/invalid")
    public ResultVO sessionInvalid(){
        return ResultVOUtil.error(ResultEnum.SESSION_INVALID.getCode(), ResultEnum.SESSION_INVALID.getMessage());
    }
1
2
3
4
5
6
7
8

2.4测试效果如下：

session超时后访问http://www.pinzhi365.com/user/me3会跳转到如下页面，说明配置已经成功。