Что касается программной безопасности Servlet 3.0, когда время сеанса истекает, нет возможности вызвать HttpServletRequest # logout ()
.
Остается ли пользователь авторизованным в JAAS?
Если да, то как лучше всего обрабатывать выход из JAAS после истечения времени ожидания сеанса?
Как контейнер обрабатывает последующий запрос пользователя на повторный вход в систему и создание нового сеанса после тайм-аута сеанса?
В стороне, каковы плюсы и минусы использования следующих трех подходов для обработки тайм-аута сеанса при использовании сервлета 3.0 программная безопасность:
HttpSessionListener # sessionDestroyed ()
@ManagedBean @SessionScoped LoginManager
реализацией HttpSessionBindingListener
и сделайте что-нибудь в valueUnbound
. Любые другие предлагаемые подходы / советы по передовой практике, несомненно, будут оценены.