1. 在 Web 应用配置文件中设置：这是最常用、最推荐的方式，它会应用到整个 Web 应用。
2. 在 Java 代码中动态设置：这种方式更灵活，可以在特定逻辑中为单个 Session 或所有 Session 设置超时。

下面我将详细讲解这两种方式,并说明它们的优先级。

在 Web 应用配置文件中设置

这种方式通过修改部署描述符（web.xml）或 Servlet 3.0+ 的编程式配置来实现，对所有 Session 生效。

使用 web.xml (适用于 Servlet 2.5 及以下，或作为 Servlet 3.0+ 的备用配置)

这是最传统和标准的方法,在 WEB-INF/web.xml 文件中，你可以使用 <session-config> 标签来配置 Session 的相关参数。

web.xml 示例：

<?xml version="1.0" encoding="UTF-8"?>
<web-app xmlns="http://xmlns.jcp.org/xml/ns/javaee"
         xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
         xsi:schemaLocation="http://xmlns.jcp.org/xml/ns/javaee
                             http://xmlns.jcp.org/xml/ns/javaee/web-app_4_0.xsd"
         version="4.0">
    <!-- ... 其他配置 ... -->
    <session-config>
        <!-- 设置 Session 的超时时间，单位是分钟 -->
        <!-- 设置为 30 分钟 -->
        <session-timeout>30</session-timeout>
        <!-- (可选) 设置 Session 的 Cookie 配置 -->
        <cookie-config>
            <!-- 设置 Session Cookie 的名称，默认为 JSESSIONID -->
            <name>MYSESSIONID</name>
            <!-- 设置 Session Cookie 的最大生存时间，单位是秒 -->
            <!-- 如果设置了 max-age，它会覆盖 session-timeout 的设置 -->
            <!-- max-age 优先级更高 -->
            <max-age>1800</max-age> <!-- 1800 秒 = 30 分钟 -->
        </cookie-config>
        <!-- (可选) 设置 Session 的跟踪模式，默认是 URL -->
        <!-- 可以设置为 COOKIE 或 SSL -->
        <tracking-mode>COOKIE</tracking-mode>
    </session-config>
</web-app>

关键点解释：

• <session-timeout>:
  • 单位: 分钟。
  • 作用: 定义一个 Session 在不活动（没有客户端请求）多长时间后应该失效。
  • 服务器行为: Tomcat、Jetty、WebLogic 等主流 Servlet 容器都有一个后台线程，会定期检查所有活动的 Session，如果一个 Session 的空闲时间超过了 <session-timeout> 设置的值，它就会被标记为无效，并在下一次被访问时被容器销毁。
• <cookie-config>:
  • <max-age>: 这个设置是针对浏览器端的 Cookie 的，它告诉浏览器，这个 Cookie 应该在多少秒后过期。
  • 优先级: <cookie-config><max-age> 的优先级高于 <session-timeout>，如果两者都设置了，并且值不一致，浏览器会根据 max-age 来决定何时删除 Cookie，一旦浏览器删除了 Cookie，Session 也就自然无法被客户端提供了，即使服务器端的 Session 对象可能还未超时。
  • 如果设置为 0: max-age="0" 会导致浏览器立即删除该 Cookie，相当于用户退出登录。
• <tracking-mode>:
  • 定义了 Session ID 如何在客户端和服务器之间传递，可以是 COOKIE（通过 HTTP Cookie）、URL（通过 URL 重写，如 jsessionid=xxx）或 SSL（通过 SSL 会话）。

使用 ServletContext (Servlet 3.0+ 推荐方式)

从 Servlet 3.0 开始，你可以通过 Java 代码在应用启动时配置 Session 超时，这通常在 ServletContextListener 的 contextInitialized 方法中完成。

示例代码：

import javax.servlet.ServletContext;
import javax.servlet.ServletContextEvent;
import javax.servlet.ServletContextListener;
import javax.servlet.annotation.WebListener;
@WebListener
public class MyAppInitializer implements ServletContextListener {
    @Override
    public void contextInitialized(ServletContextEvent sce) {
        // 获取 ServletContext 对象
        ServletContext context = sce.getServletContext();
        // 设置 Session 超时时间，单位是分钟
        // 这与 web.xml 中的 <session-timeout> 效果完全一样
        context.setSessionTimeout(45); // 设置为 45 分钟
        System.out.println("Session timeout has been set to 45 minutes programmatically.");
    }
    @Override
    public void contextDestroyed(ServletContextEvent sce) {
        // 应用关闭时的清理代码
    }
}

关键点解释：

• ServletContext.setSessionTimeout(int minutes):
  • 单位: 分钟。
  • 作用: 与 web.xml 中的 <session-timeout> 功能完全相同。
  • 优先级: web.xml 中也设置了 <session-timeout>，那么后生效的会覆盖先前的设置，通常是 web.xml 的配置先加载，ServletContextListener 中的代码会覆盖它，建议在一个项目中只选择一种方式，避免混淆。

在 Java 代码中动态设置

这种方式允许你在运行时为单个 Session 或所有已存在的 Session 设置超时，灵活性最高。

为单个 Session 设置超时

当你获取了一个 HttpSession 对象后，可以直接调用其 setMaxInactiveInterval() 方法。

示例代码：

import javax.servlet.ServletException;
import javax.servlet.annotation.WebServlet;
import javax.servlet.http.HttpServlet;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;
import javax.servlet.http.HttpSession;
import java.io.IOException;
@WebServlet("/login")
public class LoginServlet extends HttpServlet {
    @Override
    protected void doPost(HttpServletRequest req, HttpServletResponse resp) throws ServletException, IOException {
        // ... 验证用户逻辑 ...
        // 获取 Session
        HttpSession session = req.getSession();
        // 为这个特定的 Session 设置超时时间，单位是秒
        // 设置为 1 小时 (3600 秒)
        session.setMaxInactiveInterval(3600);
        System.out.println("Session timeout for this user has been set to 1 hour.");
        // ... 其他逻辑 ...
    }
}

关键点解释：

• HttpSession.setMaxInactiveInterval(int interval):
  • 单位: 秒，这一点非常重要，与 web.xml 和 ServletContext 的分钟单位不同。
  • 作用: 只对当前这个 HttpSession 实例生效，它不会影响其他 Session，也不会改变全局的默认超时设置。
  • 覆盖: 这个调用会覆盖掉通过 web.xml 或 ServletContext 为这个 Session 设置的超时时间。
  • 设置为负数: 如果传入 -1，表示 Session 永不超时（除非服务器关闭或 Session 被手动注销）。在生产环境中要谨慎使用，因为它可能导致服务器内存泄漏。

为所有已存在的 Session 设置超时

如果你需要动态修改所有当前活动 Session 的超时时间，你需要遍历所有 Session，这通常通过 HttpSessionListener 来实现。

示例代码：

import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSession;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;
import java.util.concurrent.atomic.AtomicInteger;
@WebListener
public class ActiveSessionMonitor implements HttpSessionListener {
    // 用于统计当前活动 Session 数量
    private static final AtomicInteger activeSessions = new AtomicInteger();
    @Override
    public void sessionCreated(HttpSessionEvent se) {
        // 当一个新 Session 被创建时
        activeSessions.incrementAndGet();
        HttpSession session = se.getSession();
        System.out.println("Session Created. ID: " + session.getId());
        System.out.println("Total Active Sessions: " + activeSessions.get());
    }
    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        // 当一个 Session 被销毁时
        activeSessions.decrementAndGet();
        System.out.println("Session Destroyed. ID: " + se.getSession().getId());
        System.out.println("Total Active Sessions: " + activeSessions.get());
    }
    // 提供一个公共方法，可以在应用的任何地方调用
    // 在一个管理 Servlet 中调用这个方法来动态修改所有 Session 的超时时间
    public static void setGlobalSessionTimeout(int seconds) {
        // 注意：直接获取所有 Session 的标准 API 在 Servlet 规范中并不存在
        // 这里只是一个概念演示，实际实现依赖于具体的 Servlet 容器
        // 在 Tomcat 中，可以通过 MBean 来实现
        // 伪代码:
        // for (HttpSession session : getAllActiveSessions()) {
        //     session.setMaxInactiveInterval(seconds);
        // }
        System.out.println("Concept: Setting timeout for all active sessions to " + seconds + " seconds.");
    }
}

关键点解释：

• HttpSessionListener: 用于监听 Session 的创建和销毁事件。
• 动态修改所有 Session 的超时: Servlet 规范本身没有提供一个直接获取所有活动 Session 的 API，这个功能是特定于 Servlet 容器的。
  • Tomcat: 你可以通过 JMX (Java Management Extensions) 来获取 Manager MBean，然后遍历所有 Session。
  • 其他容器: 类似地，也提供自己的专有 API 或管理接口来实现此功能。
  • 这是一个高级且不具可移植性的操作,通常只在管理后台等特殊场景下使用。

总结与优先级

最佳实践建议：

1. 优先使用全局配置：对于大多数应用，Session 的超时时间是应用级别的策略，应该在 web.xml 或 ServletContextListener 中统一设置，这确保了行为的一致性和可维护性。
2. 代码中动态设置用于特殊场景：当需要为特定用户（管理员登录后）或特定操作（用户在进行一个长时间的操作时）延长或缩短 Session 生命周期时，才在代码中调用 session.setMaxInactiveInterval()。
3. 注意单位：这是最容易出错的地方！务必记住 web.xml 和 ServletContext 是分钟，而 HttpSession 的方法是秒。
4. 避免永不超时：除非有非常特殊且受控的理由，否则不要在代码中将 Session 超时设置为 -1，因为它会消耗服务器内存，可能导致 Denial of Service (DoS) 攻击。