желательно именно отключить, а не делать максимально продолжительными или продляемыми.
возможно такое?

Petro123"отключить время" = "остановить время".
Может инженерным языком будешь разговаривать?
под " отключить время сессии " подразумевалось что оно либо не будет изменяться, либо ещё что,
главное чтоб вызывало срабатывания слушателя ServletSessionListener и не вызывало срабатывания его метода sessionDestroyed

Petro123параметр в 0 установить?я не нашел такого в доках, в web.xml не вариант.

BlazkowiczВечные сессии это плохая идея по многим причинам. Remember-me токены точно не подходят?это система мониторинга технологических процессов, открыл страницу и пусть висит - отображает, инфа на ней отображается с помощью ws . поэтому никаких запросов со страницы нет,
теоритически можно, но мне кажется это будет сложнее.
у меня счас сделано - если по ws приходит сообщение со страницы по ws , то сессия страницы продляется на некоторое время. но появились страницы, с которых инфы нет долго, а на них отправляется до 10 раз в секунду по ws (отображение графика в реальном времени)(кстати всего 24кбти в секунду). конечно можно при отправке на страницу продлять сессию страницы, но это как-то не комильфо - пустая работа, от которой желательно избавиться

Petro123если знал, почему не сказал раньше?
Вопрос второй. Почему не подходит?
По чайной ложке будем разговаривать?дак я вроде указал - для некоторых, в web.xml вроде задаётся для всего сервера, а не выбранных соединений.

maytonВ системах мониторинга ТП просто не должно быть аутентификации. Там - доверительность между хостами как в rlogin.системы разные бывают. тут в качестве монитора используется браузер, и вход на страницу мониторинга только определённым юзерам, в тоже время к работе определёнными узлами -доступ другим юзерам, так что без аутентификации никак.

mad_nazgulЕсли вам нужна "бесконечная" сессия, то скорее всего вам сессия не нужна вообще.
А аутентификация и авторизация к времени жизни сессии имеет опосредованное отношение.

А так, можно было бы что-то сделать через OAuth с не протухающим токеномне совсем подходит.
дело в том что страницу мониторинга может открыть только определённые пользователи, а оставаться активной она может бесконечно. и есть тонкость - для других юзеров время есть ограничение "времени бездействия"
за этим следит public class ServletSessionListener implements HttpSessionListener . если идёт обновление страницы счетчик времени восстанавливается, если идёт обмен по ws "счетчик продляется". но если нет "общения с сервером" это рассматривается как юзер отошёл от компа - после окончания времени сессии сервер даёт команду браузеру и тот переходит на страницу авторизации.
с session.setMaxinactiveinterval(0) работает.

mad_nazgulНикогда не работал с WS, а там разве нельзя работать в рамках сессии пользователя?
Мне казалось, что "продление" сессии при активности, во всех серверах приложений/сервлетов делается по умолчанию...такого нет. это хорошо или плохо не известно. баг или фича...
у ws свои сессии.
в WsServerConfigurator extends ServerEndpointConfig.Configurator можно "связать" сессию ws с сессией http, логином юзера. для отправки сообщений от одного клиента другому.

у меня если юзер вышел из портала, его сессия прерывается. и войти он может только через авторизацию, насколько я понимаю варианты с токеном - ему этого не потребуется. т.е. любой подошедший к компу и набравший адрес страницы получит доступ?

Tsyklopвадя,
в WS можно достать эту сессию и продлить её время жизни.так и сделано
public void OnMessage(String data, Session userSession) {



но только доставать сессию нужного юзера это не очень. а если нет обновления данных для данного юзера, то для продления сессии требуется городить таймер. так у меня по сессии ws вытаскивается сессия http и происходит её продлении . если getMaxInactiveInterval != 0 , то 0 так и остаётся.

Petro123Ниче не понял. Событие создания сессии есть?
Там и ставь все что надотак и сделал. юзер авторизуется, по логину паролю определяется какая сессия ему предназначена - и прописывается время - либо 0, либо "ограниченное".

Petro123Сессия у него стала бесконечной? Сабж решен?да , проверка прошла.
спасибо!

Герой дняа не будет ли забиваться диск или база из-за бесконечных сессий ?у меня к базе идет обращение только на момент авторизации. проверяется логин /пароль и количество неправильных попыток с данного ip.

Kachalov- на каждую сессию где то сохраняется SID, если логаут отсутствует или не всегда происходит, то теоретически при некоторой интенсивности создания новых сессий можно получить переполнение хипа JVM или раздела на диске где сохраняются сессиихороший вопрос
проверил - такого не наблюдалось. Но обнаружил ещё одно свойство ws (точнее новое применение) - когда переходишь по страницам - браузер закрывает ws коннект. на новой странице надо его открывать. это не сложно.
но это не сказывается на http сессии она остаётся, http сессия закроется либо через окончание времени сессии сервера, либо пока юзер не закроет браузер - в случае бесконечной сессии (или почистит историю). т.е. открытие другого сайта в этой вкладке не приведёт к отключению http сессии.
а это означает что любой в это время может подойти и работать под данным юзером., просто введя адрес портала.
как вариант - при закрытии ws сессии определяется http сессия и для этой сессии задаётся
httpSession.setMaxInactiveInterval((int) ((System.currentTimeMillis() - httpSession.getLastAccessedTime()) / 1000L) + 3);
где 3 это 3сек на продление сессии. этого хватает чтоб при открытии новой страницы портала установить setMaxInactiveInterval(0).
а если юзер перешёл на другой сайт , то http сессия будет закрыта.

проверяю работу клиента ws на arduino - nano, который снимает данные лазерного дальномера и отображает на странице браузера в реальном времени. сама ардуинка ещё и управляет преобразователем частоты через модбас. вот для юзера который просматривает эту кривую и требуется бесконечная сессия. надо сказать что очень просто управлять силовым железом. трафик минимальный. сервер вообще курит бамбук