Я читал разные темы об этой проблеме, но не смог найти решение своей проблемы, поэтому пишу здесь.
У нас есть приложение websphere liberty, и наше веб-приложение использует аутентификацию FORM на странице входа в систему.Сторонняя аутентификация не задействована.
В конфигурации сервера ltpatoken не имеет определенного тайм-аута, и по умолчанию он равен 2 ч.
В файле server.xml мы имеем следующее:
<webAppSecurity logoutOnHttpSessionExpire="true" ssoRequiresSSL="false"/>
<httpSession cookieSecure="false" invalidationTimeout="1m" reaperPollInterval="30s" forceInvalidationMultiple="1"/>
таким образом JSESSIONID установит для своего таймаута значение 1 минуту.
В настоящее время, когда пользователь щелкает в приложении после простоя более одной минуты, просто обновляется JSESSIONID, новое значениесоздан, и пользователь может просто продолжить работу в приложении.
Почему?
Я ожидаю, что пользователь будет выгнан на странице входа в систему.
Ещеинформация: - мы используем механизм j_security_check - приложения являются java-приложениями, а в web.xml у нас есть метод входа в систему FORM