В Tomcat, что происходит, когда вызывается session.invalidate ()

Question

когда пользователь выходит из системы, мы выполняем session.invalidate ().

Но возможно ли, что если сеансы сохраняются с помощью tomcat, что он делает по умолчанию, и если тот же пользователь пытается получить доступ к веб-приложению в течение короткого времени, тот же постоянный сеанс восстанавливается и используется повторно ??

tomcat делает недействительным сеанс во время перезагрузки или перезапуска приложения? ... Конфигурация "saveOnRestart" в server.xml полностью контролирует это?

Answer 1

Если один и тот же пользователь пытается получить доступ к приложению, для него создается новый идентификатор сеанса, и поэтому он не может получить доступ к чему-либо из предыдущего сеанса (даже если он еще не был удален, но, вероятно, он будет удален).).Детали реализации здесь не имеют значения - дело в том, что когда сеанс заканчивается или становится недействительным, все данные сеанса теряются.