Petro123,

Да, для одного и того же пользователя в одной сессии при разных запросах метод


возвращает разные инстансы класса io.undertow.servlet.spec.HttpSessionImpl (для для WildFly)

Petro123,

Сейчас проверил, сохранил сессии в глобальной мапе. Залогинился в разных браузерах под пользователями A и B. И попробовал из под пользователя "A" инвалидировать сессию пользователя "В". В результате инвалидными стали обе сессии - и пользователя A и пользователя B. Так что не все так просто, как я и думал. Это под WildFly. Сейчас под GlassFish проверю.

Alexander A. SakОпенсурс же. Можно посмотреть реализацию io.undertow.servlet.spec.HttpSessionImpl
Выглядит оно как обертка над родной сессией. И, что интересно, последний коммит в той ветке, на которую навел гугл:

авторUNDERTOW-909 Session invalidation not reflected when coming from another concurrent request

Спасибо! Опенсорс, да, но мне надо WildFly и GlassFish, они разные имплементации используют.

Под Glassfish нормально получилось инвалидировать (в отличии от WildFly). Но в целом ясно, что в эта авантюру лучше не впутываться а хранить только JSESSIONID и инвалидировать сессии при входящих запросах.

Petro123rabiterPetro123,
Сейчас проверил, сохранил сессии в глобальной мапе. Залогинился в разных браузерах под пользователями A и B. И попробовал из под пользователя "A" инвалидировать сессию пользователя "В". В результате инвалидными стали обе сессии - и пользователя A и пользователя B. Так что не все так просто, как я и думал. Это под WildFly. Сейчас под GlassFish проверю.
наборот сделай. В фильтре при входе B проверяй следует ли обнулить (флаг).
Если да, то прямо в фильтре ДО сервлета обнуляй.

Да, именно так буду делать, спасибо! А я правильно предчувствовал что не все так просто ;-)

Petro123,

Ну это обертка вокруг сессии

Под GlassFish, кстати, каждый раз один и тот же инстанс:

Petro123rabiterА я правильно предчувствовал что не все так просто ;-)
подумал...подумал).
Всё получается логично.
Мапой сессий заведует сервер. И нефиг создавать параллельно какие то свои мапы. Это масштабируемо.
Т.е. для управлениями сессиями не своими есть фильтры.
Где пока юзверь не зайдёт, ты с его сессией ничего не сделаешь.
Ещё есть листенеры где тоже будет ссылка на сессию AFAIK.
Так что вернулись к нашим баранам - никаких списков вне сервера.
IMHO
Пока так...

Вот в том-то и дело, это меня и смущало.

Но кстати, если вызывать на чужой сессии не метод invalidate, а метод setMaxInactiveInterval(1), то это в принципе работает. Но не думаю, что это хорошая идея все равно.