желательно именно отключить, а не делать максимально продолжительными или продляемыми.
возможно такое?

Petro123"отключить время" = "остановить время".
Может инженерным языком будешь разговаривать?
под " отключить время сессии " подразумевалось что оно либо не будет изменяться, либо ещё что,
главное чтоб вызывало срабатывания слушателя ServletSessionListener и не вызывало срабатывания его метода sessionDestroyed

Petro123параметр в 0 установить?я не нашел такого в доках, в web.xml не вариант.

BlazkowiczВечные сессии это плохая идея по многим причинам. Remember-me токены точно не подходят?это система мониторинга технологических процессов, открыл страницу и пусть висит - отображает, инфа на ней отображается с помощью ws . поэтому никаких запросов со страницы нет,
теоритически можно, но мне кажется это будет сложнее.
у меня счас сделано - если по ws приходит сообщение со страницы по ws , то сессия страницы продляется на некоторое время. но появились страницы, с которых инфы нет долго, а на них отправляется до 10 раз в секунду по ws (отображение графика в реальном времени)(кстати всего 24кбти в секунду). конечно можно при отправке на страницу продлять сессию страницы, но это как-то не комильфо - пустая работа, от которой желательно избавиться

Petro123если знал, почему не сказал раньше?
Вопрос второй. Почему не подходит?
По чайной ложке будем разговаривать?дак я вроде указал - для некоторых, в web.xml вроде задаётся для всего сервера, а не выбранных соединений.

maytonВ системах мониторинга ТП просто не должно быть аутентификации. Там - доверительность между хостами как в rlogin.системы разные бывают. тут в качестве монитора используется браузер, и вход на страницу мониторинга только определённым юзерам, в тоже время к работе определёнными узлами -доступ другим юзерам, так что без аутентификации никак.

mad_nazgulЕсли вам нужна "бесконечная" сессия, то скорее всего вам сессия не нужна вообще.
А аутентификация и авторизация к времени жизни сессии имеет опосредованное отношение.

А так, можно было бы что-то сделать через OAuth с не протухающим токеномне совсем подходит.
дело в том что страницу мониторинга может открыть только определённые пользователи, а оставаться активной она может бесконечно. и есть тонкость - для других юзеров время есть ограничение "времени бездействия"
за этим следит public class ServletSessionListener implements HttpSessionListener . если идёт обновление страницы счетчик времени восстанавливается, если идёт обмен по ws "счетчик продляется". но если нет "общения с сервером" это рассматривается как юзер отошёл от компа - после окончания времени сессии сервер даёт команду браузеру и тот переходит на страницу авторизации.
с session.setMaxinactiveinterval(0) работает.

mad_nazgulНикогда не работал с WS, а там разве нельзя работать в рамках сессии пользователя?
Мне казалось, что "продление" сессии при активности, во всех серверах приложений/сервлетов делается по умолчанию...такого нет. это хорошо или плохо не известно. баг или фича...
у ws свои сессии.
в WsServerConfigurator extends ServerEndpointConfig.Configurator можно "связать" сессию ws с сессией http, логином юзера. для отправки сообщений от одного клиента другому.

у меня если юзер вышел из портала, его сессия прерывается. и войти он может только через авторизацию, насколько я понимаю варианты с токеном - ему этого не потребуется. т.е. любой подошедший к компу и набравший адрес страницы получит доступ?

Tsyklopвадя,
в WS можно достать эту сессию и продлить её время жизни.так и сделано
public void OnMessage(String data, Session userSession) {



но только доставать сессию нужного юзера это не очень. а если нет обновления данных для данного юзера, то для продления сессии требуется городить таймер. так у меня по сессии ws вытаскивается сессия http и происходит её продлении . если getMaxInactiveInterval != 0 , то 0 так и остаётся.

Petro123Ниче не понял. Событие создания сессии есть?
Там и ставь все что надотак и сделал. юзер авторизуется, по логину паролю определяется какая сессия ему предназначена - и прописывается время - либо 0, либо "ограниченное".

Petro123Сессия у него стала бесконечной? Сабж решен?да , проверка прошла.
спасибо!

Герой дняа не будет ли забиваться диск или база из-за бесконечных сессий ?у меня к базе идет обращение только на момент авторизации. проверяется логин /пароль и количество неправильных попыток с данного ip.