WindowsドメインとJ2EE Webアプリケーションの間でSSOを実装する必要があります。セッションタイムアウトに対するSSOの影響
私はこれがWebアプリケーションのセッションタイムアウトに及ぼす影響を考えていました。私たちは2時間のタイムアウトを持っています。
シンプルなSSOを実装すると、ユーザーにとって混乱する可能性があると私は考えています。
SSOにより、Webアプリケーションがすぐに使用できるように見えるようになります。
私は彼らがフォームに記入してから昼食(または何か)に出て、セッションがタイムアウトした後に戻ってくることに心配しています。しかし、SSOはこれをもう一度サインするだけです(しかし、今度は新しいセッションがある)ので、これが起こったことはすぐには分かりません。
このようなことを経験した人は誰ですか?以前のセッションがタイムアウトして作業が失われたことをユーザーに伝えるために、何らかの追加のメッセージングを実装するだけですか?
ユーザーのセッションがリセットされた場合、何らかの種類のアラートボックスを必ずポップアップする必要があると思います。メッセージの[OK]をクリックし、ホームページにリダイレクトするようにします。
また、2時間のタイムアウトは、あなたがそれをやっていると悪い考えのように聞こえると思います。セッションがタイムアウトする前にログインしてから2時間が経過していることを意味しますか?ユーザーがそのセッション内で新しいリクエストを送信するたびに、10分のタイムアウトのようなものを持っていても、タイマーがリセットされるのは意味がありません。
タイムアウトは、ログインから測定された静的固定時間ではなく、非アクティブの動的測定値です。
サイトでは、10分後にこの機能を使用すると、Webページがログインページ(JSが使用される)に戻り、必要に応じてユーザーが再開できます。
結果や何かをレビューしている長いプロセスでビジー状態になっている場合は、マウスの動きや、まだ使用中であることを示すようなサブキーを確認してください。
古い質問が、ケースには誰もがそれ横切る:
は、サーバーのセッションで何の状態を保存しないように本当にハード試してみてください。クライアント、罰金;バックエンドサーバーの永続性(データベースなど)その間に何も失われないだろう。ユーザーがシームレスに再認証されると、スイッチに気付かない。タイムアウトの期間は無関係になります。
この回答は実際には6年後に表示されます。これは、データを格納するフロントエンドフレームワークがいくつか存在するためです。新しいセッションではまだ認証があるので、サーバー上ではSpring Security(たとえば)を使用することはできます。セキュリティ情報(SecurityContext、UserDetailsなど)を即座に再生成する必要があります。どんなリクエストでもデータを取得したり送信したりすると、「うまく動作する」必要があります。
私はもっとはっきりしていたはずです.2時間の非アクティブタイムアウトです。 –