1. 在web容器中设置(此处以tomcat为例)
在tomcat-5.0.28\conf\web.xml中设置,以下是tomcat 5.0中的默认配置:
[html] view plain copy
<!-- ==================== Default Session Configuration ================= -->
<!-- You can set the default session timeout (in minutes) for all newly -->
<!-- created sessions by modifying the value below. -->
<session-config>
<session-timeout>30</session-timeout>
</session-config>
Tomcat默认session超时时间为30分钟,可以根据需要修改,负数或0为不限制session失效时间。
2. 在工程的web.xml中设置
[html] view plain copy
<!-- 时间单位为分钟 -->
<session-config>
<session-timeout>15</session-timeout>
</session-config>
3. 通过Java代码设置
session.setMaxInactiveInterval(30*60);//以秒为单位
三种方式优先级:1 < 2 <3
特别:如果需要根据用户或者权限去设置sessionTimeOut时间
增加过滤器,在过滤器doFilter方法中通过request.getSession().getAttribute("userid") 去得到用户
然后判断用户,设置session.setMaxInactiveInterval(30); //session时间
- if(isset($_SESSION['expiretime'])) {
- if($_SESSION['expiretime'] < time()) {
- unset($_SESSION['expiretime']);
- header('Location: logout.php?TIMEOUT'); // 登出
- exit(0);
- } else {
- $_SESSION['expiretime'] = time() + 3600; // 刷新时间戳
- }
- }
1. 在server.xml中定义context时采用如下定义:<Context path="/livsorder" docBase="/home/httpd/html/livsorder"
2. 在\Tomcat4.1\conf\web.xml中通过参数指定:
其中30表示30分钟
3. 在程序中通过servlet api直接修改
设置单位为秒,设置为-1永不过期。
转自:http://hi.baidu.com/andylu1988/item/ec85e57da0ac493d6e29f6bf
php.ini 的关于 Session 的设置
; Set to {nocache,private,public,} to determine HTTP caching aspects
① 是否要 cache ? ==> NO!
在 http 的 header 里面输出一些关于 session 的 cache(??对具体定义不是很清除) ,虽然这个和 Session 的 time out 没有什么直接的联系,但从历来的经验来讲,会出现一些很奇怪的现象,所以这里统一将 cache 关闭,使得 header 里面不出现 session 的信息。
; or leave this empty to avoid sending anti-caching headers.
session.cache_limiter = nocache; Document expires after n minutes.
② 关于 garbage
session.cache_expire = 180
; Define the probability that the 'garbage collection' process is started
; on every session initialization.
; The probability is calculated by using gc_probability/gc_divisor,
; e.g. 1/100 means there is a 1% chance that the GC process starts
; on each request.session.gc_probability = 1
session.gc_divisor = 100; After this number of seconds, stored data will be seen as 'garbage' and
这个设置是指:在 1440 秒后, Session 会被认作是 garbage (垃圾),而针对这些 garbage ,在每次连接(request),有 1/100 的几率(下文称为“清除几率”)来清除这些 garbage--当然,可以认为在 1440 秒后,平均通过进行 100 次的连接就会将 garbage session清除。
; cleaned up by the garbage collection process.
session.gc_maxlifetime = 1440
如果将以上的分子和分母都调整到 1, 那所有的 garbage session 将会在期限(session.gc_maxlifetime)过后的第一次 request 的时候被清除。但是这会大大加大对服务器的负荷,不建议使用。③最后设置 session.cookie_lifetime
; Whether to use cookies.
session.use_cookies = 1; Lifetime in seconds of cookie or, if 0, until browser is restarted.
; session.cookie_lifetime 以秒数指定了发送到浏览器的 cookie 的生命周期。
; 值为 0 表示“直到关闭浏览器”。默认为 0。
session.cookie_lifetime = 0
如果使用 cookie 在客户端保存 session 信息,这里可以设置 cookie 的有效时间。自己的理解是,在客户端的 cookie 里面保存有 Session ID,用来比较其有效期限。
现在做的项目使用 cookie 来保存用户信息,每当 session.cookie_lifetime 设置为 0 的时候,理所当然 IE 被关闭后每次都要重新登陆。但是当将此设置为一定的值后,在指定的秒数内重新打开该页面,仍旧保留以前的 cookie 数据并且自动登陆。留意点:
session.cookie_lifetime 设定为一个值 (例如 1000 秒)后,相应的 session.gc_maxlifetime 也需要设置为 1000 ,才能方便清除?
因 为测试过几次,将 session.cookie_lifetime 设置为较小的数值(例如 100秒)的时候,即使将“清除几率”变为 100% , 也不能在这个较小数值的时间内将 session 清除。因此怀疑是 session.gc_maxlifetime 设置了较大的一个值,使得系统需要更多的时间将 session 认定为 garbage, 即使这个 session 实质上已经过了它的 lifetime。
几经测试,在统一了 session.cookie_lifetime 和 session.gc_maxlifetime 后, session 的定期清除效果比较好。那么如何有效的限制 Session 的 Time out 呢?以下是两个众所周知的方案,仅作纪录。
将 Timestamp 放入 $_SESSION 中,每次 request 的时候对其值和现在值 now() 进行比较。如果时间间隔没有超出 Time Out 的期限,那么就将现在的时间 now() 赋值给 $_SESSION 中的纪录 timestamp 的部分。将 timestamp 放入 数据库中,每次 request 的时候对其值和现在值 now() 进行比较。如果时间间隔没有超出 Time Out 的期限,那么就将该用户的 session 纪录进行更新。
