核心概念：Session 超时 vs. Session 失效

要明确一个重要概念：Session 超时 和 Session 失效 是两个不同的概念。

• Session 超时：指用户在一定时间内没有进行任何操作（即没有发送新的请求），服务器自动将该 Session 标记为无效并回收其资源，这是我们通常所说的“Session 过期”。
• Session 失效：指用户主动登出、关闭浏览器（在某些实现下）或服务器主动销毁 Session,这通常是由程序逻辑触发的。

我们这里主要讨论的是 Session 超时 的设置。

设置 Session 超时的几种方法

设置 Session 超时主要有以下三种方式,它们的优先级从高到低为：

1. 编程式设置（代码中动态设置）
2. 部署描述符设置（web.xml 中配置）
3. 服务器默认配置（如 Tomcat 的 web.xml）

编程式设置（最灵活）

在 Java 代码中，你可以通过 HttpSession 对象的 setMaxInactiveInterval(int interval) 方法来动态设置当前 Session 的超时时间。

• 方法签名：public void setMaxInactiveInterval(int interval)
• 参数 interval：单位是 秒，如果设置为 0 或负数，则 Session 永不超时（不推荐在生产环境中使用）。
• 作用范围：只对当前这次请求创建的 Session 有效。

示例代码：

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
@WebServlet("/sessionTimeoutExample")
public class SessionTimeoutExample extends HttpServlet {
    @Override
    protected void doGet(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException {
        // 1. 获取当前 Session，如果不存在则创建一个
        HttpSession session = request.getSession();
        // 2. 设置 Session 超时时间为 30 分钟 (30 * 60 = 1800 秒)
        session.setMaxInactiveInterval(30 * 60); // 1800 seconds
        // 3. 也可以获取当前的超时时间
        int currentTimeout = session.getMaxInactiveInterval();
        System.out.println("Current session timeout is set to: " + currentTimeout + " seconds.");
        // ... 其他业务逻辑 ...
        response.getWriter().println("Session timeout has been set to 30 minutes.");
    }
}

优点：

• 灵活性高：可以根据业务逻辑动态调整，对于某些敏感操作，可以临时延长 Session 时间。

缺点：

• 分散：如果超时时间需要在多个地方统一设置，这种方式会导致代码重复,难以维护。

部署描述符设置（web.xml）

这是最推荐、最标准的方式，你可以在应用的 web.xml 文件中为整个 Web 应用设置一个统一的、默认的 Session 超时时间。

• 配置标签：<session-config>
• 子标签：<session-timeout>，单位是 分钟。

示例 web.xml 配置：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <!-- 其他配置... -->
    <!-- 设置整个 Web 应用的默认 Session 超时时间为 30 分钟 -->
    <session-config>
        <session-timeout>30</session-timeout>
    </session-config>
</web-app>

优点：

• 集中管理：所有配置都在一个地方,易于维护和修改。
• 统一标准：为整个应用提供了统一的超时策略。
• 优先级低于编程式：如果在 web.xml 中设置了 30 分钟，但在代码中又调用 setMaxInactiveInterval(1800) (也是30分钟)，那么代码中的设置会覆盖 web.xml 的设置。

服务器默认配置

如果你没有在应用级别的 web.xml 中设置 <session-timeout>，Servlet 容器（如 Tomcat、Jetty）会使用它自己的默认值。

• Tomcat 默认值：通常是 30 分钟。
• 如何修改 Tomcat 的全局默认值：
  1. 找到 Tomcat 安装目录下的 conf/web.xml 文件。
  2. 在这个全局的 web.xml 中找到 <session-config> 部分。
  3. 修改 <session-timeout> 的值。注意：这个修改会影响部署在该 Tomcat 上的所有 Web 应用。

示例（Tomcat conf/web.xml）：

<session-config>
    <session-timeout>30</session-timeout>
</session-config>

优点：

• 无需修改应用代码。

缺点：

• 影响范围过大：修改会影响服务器上的所有应用,不够灵活。
• 配置不清晰：应用的配置和服务器全局配置混在一起,不利于部署和问题排查。

最佳实践与注意事项

1. 优先使用 web.xml 配置： 对于大多数应用，应该首选在 web.xml 中设置 <session-timeout>，这能确保所有开发者都遵循同一个标准,并且配置清晰。

2. 谨慎使用永不超时 (setMaxInactiveInterval(0))： 永不超时的 Session 会一直占用服务器的内存，如果大量用户同时保持永不超时的 Session，很容易导致服务器内存溢出，最终崩溃，只在极少数特殊场景下使用,并做好监控。

3. 理解“空闲时间”的含义： Session 的超时计时器是从 最后一次客户端请求 开始的，用户访问了页面A，然后停留在页面A上不动，超时时间是从访问页面A的那一刻开始计算的，如果用户在页面A上点击了一个按钮（发送了新的请求）,计时器会重置。

4. 手动销毁 Session： 当用户主动点击“退出”或“登出”按钮时，应该立即销毁 Session，而不是等待它超时，这可以通过调用 session.invalidate() 方法实现。

   // 用户登出时调用
   HttpSession session = request.getSession(false); // false表示如果不存在则不创建
   if (session != null) {
       session.invalidate(); // 立即销毁 Session
   }
   response.sendRedirect("login.jsp");

5. 考虑使用框架的 Session 管理： 如果你使用的是 Spring Boot 等现代框架，它们提供了更高级的会话管理机制，在 Spring Boot 中，你通常可以在 application.properties 或 application.yml 中配置：

   # application.properties
   # 设置 Session 超时时间为 30 分钟
   server.servlet.session.timeout=30m

   Spring Boot 会自动将这个配置应用到底层的 Servlet 容器上,这种方式更符合微服务和云原生应用的配置习惯。

如何选择？

对于一个规范的 Java Web 应用，最佳实践是 在 web.xml 中设置一个合理的默认超时时间（如 30 分钟），然后在少数需要特殊处理的业务场景中，使用 编程式方法进行覆盖。