Slette data i session ved browser-luk

Jeg vil tro at alle browsere betragter flere tabs i en process som vaerende samme session.

Du kan forsoege med:
- stor fed logout knap paa siden
- noget JavaScript som sender en request til en lille servlet som invaliderer session ved close

Men det er kun en 98% loesning.

Det vil jeg også tro. Det er i hvert fald min erfaring, at når man gemmer data i sessionen, man lukker tab'en, og en ny tab åbnes, så har den nye tab (evt. ny bruger med andet login) adgang til data i sessionen fra tidligere tabs. Dette må da kunne udgås. Også uden en knap til logoff. Evt. så det ikke er muligt blot at lukke en tab ned, så brugeren bliver tvunget til enten af logge ud eller lukke hele browser-vinduet ned (så går jeg da ud fra, at sessions-data slettes automatisk).

Noget javascript der registrer en tab-lukning, vil bestemt også være en mulig løsning. Men hvordan gøres dette? Kan det overhovedet registreres, at tab'en lukkes? Og i så fald kan der så køres noget javascript-kode (eller anden type kode), før vinduet lukkes ned?

Ja - hvis browseren lukkes så mister den session.

Jeg mener stadigvæk at:
- logud knap
- undervisning af brugere
- forholdsvis kort tid for session timeout
er en mulighed.

JavaScript ser ikke så lovende ud.

<script type="text/javascript">
window.onunload = function() {
    alert("tab closing or leaving site - we will now make a HTTP request to a servlet invalidating session");
}
</script>

trigges af meget mere end tab close.

Men jeg tror at jeg har en løsning !

Gå ind i serverens konfiguration og disable cookies support. Det vil tvinge serveren til at bruge URL rewriting.

Med URL rewriting mistes session ved tab close (fordi URL er per tab mens cookies er per browser instans).

For Tomcat betyder det:

<context ... cookies="false" ...>
...
</context>

Bemærk at det kræver at din web app fungerer med URL rewriting. Det er ikke vært, men mange glemmer det!

Det lyder som et godt trick.
URL-rewriting - er det så noget med, at alle sider i applikationen skal kaldes på en ny måde i den genererede kode? Eller er det noget, man blot kan sætte til på serveren, uden nogen anden effekt registreres?

Med en velskrevet Java web app, så skal der ikke ændres i koden.

Med en mere typisk web app opdager man alle de steder hvor man har glem at rewrite links.

Man bør aldrig bruge:

<a href="foobar.jsp">bla bla</a>

men altid:

<a href="<%=response.encodeURL("foobar.jsp")%>">bla bla</a>

(eller endnu bedre et taglib/web framework som gør den slags automatisk)

Ah, jeg havde godt set muligheden for det angivne. Jeg vidste bare ikke, hvad der var opnåeligt med det. Det vil jeg da lige afprøve så.

Hvad er årsagen til, at man ikke "bør" benytte den gammeldags metode til <a href> ?

Med URL rewriting gemmes session id i selve URL'en.

<a href="foobar.jsp">bla bla</a>

taber sessionen for der ikke er nogen session id i URL

<a href="<%=response.encodeURL("foobar.jsp")%>">bla bla</a>

response.encodeURL tilføjer session id til URL hvis nødvendigt (fordi cookies er disablet enten client eller server side)

Så er jeg gået i gang igen :-)

Burde jeg også bruge response.encodeURL() til redirect inde fra codebehind?

Ja

Nu har jeg forsøgt at bruge response.encodeURL("../index.jsp"); under logout.
Men under kørsel ignoreres linien blot - altså kodelinier i resten af jsp-siden udføres. Og så kommer der en exception længere nede i dokumentet af typen: org.apache.jasper.JasperException: java.lang.NullPointerException.

I linienummeret ved excpetionen står der hele tiden 176. I linie 176 havde jeg blot check for, hvem der var logget ind. Så udkommenterede jeg denne kode, for at debugge. Men exceptionen opstår stadig her - altså i udkommenteret kode. Strange!

Hvordan kan det være, at jeg ikke kan få redirected til en anden jsp-side midt i det hele?

Man kan kun redirecte som det første.

"Kun redirecte som det første" ? Den fangede jeg ikke helt betydningen af :-)

Det, jeg prøver, er, lige efter
<%@ page import....
har jeg fanget et knap-tryk således:
if (request.getParameter("logout") != null) {
  ownSession.setAttribute("j_unsername", null);
  String requestURL = request.getRequestURL().toString();
  String servletPath = request.getServletPath();
  String appPath = requestURL.substring(0, requestURL.indexOf(servletPath));
  response.sendRedirect(response.encodeRedirectURL(appPath+"/index.jsp"));
...
%>

Så har jeg søgt lidt efter andre muligheder til redirecte, men heller ingen af dem virker. Findes der andre gode mådeer at redirecte på? (altså som virker...)

Ellers har jeg overvejet, om TomCat implicit kan klare tricket. For når ownSession.setAttribute("j_unsername", null); skal TomCat vel opfange, at brugeren ikke længere er logget ind, og derfor automatisk redirecte siden til login-siden, som er angivet i web.xml?

Nu har jeg forsøgt, at redirecte fra en servlet, som kaldes i stedet for det hidtidige forsøgt på redirecte gennem scriplet. Men her kan jeg heller ikke redirecte fra. Resten af koden i kalde-jsp'en kører i hvert fald videre..?

Efter lang tids søgen fandt jeg denne side:
http://www.oracle.com/technology/sample_code/tech/java/codesnippet/servlets/urlredirection/ServletURLRedirection.html

Og nu har jeg benyttet:
RequestDispatcher rd=request.getRequestDispatcher("/redirected.jsp");
rd.forward(request, response);

hvorefter logout ser ud til at virke. Er denne løsning en acceptabel løsning? (altså ud over den tilsyneladende virker)

Arne->
Læg venligst et "svar" :-)

ok