HttpSession session = request.getSession(false);
1、用户第一次请求登录,要先将还存在服务器端的session置为无效:
if(session != null)
session.invalidate();
然后生成session:
session = request.getSession();
可以设置隔多长时间不操作session就删除session:
session.setMaxInactiveInterval(60 * 60);
response.setStatus(401);
response.setHeader("WWWAuthenticat", "qwerasdfzcxv");
2、从头文件获取用户登录的认证信息,包含用户ID和认证字符串等。
3、根据用户ID去数据库获取用户信息,拼接字符串生成认证密文和头文件里的认证字符串比较,确认是否登录成功。
4、登出操作:
HttpSession session = request.getSession();
if (session == null)
response.setStatus("500");
else
session.invalidate();