---

Hej

Jeg har en webapplikation lavet i jsp og jave som kører på en Tomcat
webserver.
Brugerne skal for at kunne benytte systemet logge sig på og logge sig af når
de ikke ønsker at bruge det længere.
Problemet er bare at nogle brugere ikke gidder at logge af, men blot lukker
deres browser ned.

Er der nogen ideer til hvordan man kan lave en slags auto logout, der
automatisk logger brugeren af, når browseren lukkes ned??

På forhånd tak

/Jakob

---

"J.S.I." <jsi@mailme.dk> wrote in message
news:ao49m7$fj2$1@news.net.uni-c.dk...
> Hej
>
> Jeg har en webapplikation lavet i jsp og jave som kører på en Tomcat
> webserver.
> Brugerne skal for at kunne benytte systemet logge sig på og logge sig af
når
> de ikke ønsker at bruge det længere.
> Problemet er bare at nogle brugere ikke gidder at logge af, men blot
lukker
> deres browser ned.
>
> Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> automatisk logger brugeren af, når browseren lukkes ned??

Du bruger ServletContextListener til at få og vide når en session dør.

--
Med venlig hilsen
Søren Reinke
http://www.dykkercenterlangeland.dk
Danmarks eneste Dive Resort

---

Tak for ideen.

Der er bare et lille problem jeg bruger servlet 2.2. og deri findes
ServletContextListener desværre ikke..
Har du måske et lille kodeeksempel??

/Jakob
"Soren 'Disky' Reinke" <disky@disky-design.ihsyd.dk> wrote in message
news:3da5b66a$0$72334$edfadb0f@dspool01.news.tele.dk...
>
> "J.S.I." <jsi@mailme.dk> wrote in message
> news:ao49m7$fj2$1@news.net.uni-c.dk...
> > Hej
> >
> > Jeg har en webapplikation lavet i jsp og jave som kører på en Tomcat
> > webserver.
> > Brugerne skal for at kunne benytte systemet logge sig på og logge sig af
> når
> > de ikke ønsker at bruge det længere.
> > Problemet er bare at nogle brugere ikke gidder at logge af, men blot
> lukker
> > deres browser ned.
> >
> > Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> > automatisk logger brugeren af, når browseren lukkes ned??
>
> Du bruger ServletContextListener til at få og vide når en session dør.
>
> --
> Med venlig hilsen
> Søren Reinke
> http://www.dykkercenterlangeland.dk
> Danmarks eneste Dive Resort
>
>

---

"J.S.I." <jsi@mailme.dk> wrote in message
news:ao4nt1$p6q$1@news.net.uni-c.dk...
> Tak for ideen.
>
> Der er bare et lille problem jeg bruger servlet 2.2. og deri findes
> ServletContextListener desværre ikke..
> Har du måske et lille kodeeksempel??
>

Hmmm kan ikke finde det, men jeg ville opgradere din servlet version :)

Søg evt på www.javasoft.com

/Søren

---

J.S.I. wrote:

> Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> automatisk logger brugeren af, når browseren lukkes ned??

Det kan du opnå ved kun at arbejde med sessions. Du skal bare ikke
sætte en cookie i browseren.

Se http://java.sun.com/j2ee/tutorial/1_3-fcs/doc/Servlets11.html#63281

Morten

---

"J.S.I." wrote:

> Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> automatisk logger brugeren af, når browseren lukkes ned??

Never trust a client! Måske bliver forbindelsen afbrudt eller browseren dør
ureglementeret. Derfor skal du satse på en form for time-out på serveren (f.eks.
med sessions som andre har foreslået). Det har den ulempe, at der kan komme
time-out selv om klienten stadig er aktiv, men det kan undgås med en
"keep-alive" funktion på klienten, som holder forbindelsen åben.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

> Never trust a client! Måske bliver forbindelsen afbrudt eller browseren
dør
> ureglementeret. Derfor skal du satse på en form for time-out på serveren
(f.eks.
> med sessions som andre har foreslået). Det har den ulempe, at der kan
komme
> time-out selv om klienten stadig er aktiv, men det kan undgås med en
> "keep-alive" funktion på klienten, som holder forbindelsen åben.

Hvordan kan man lave en sådan "keep-alive"-funktion på klienten?

Med venlig hilsen
Allan

---

Allan Unnerup wrote:

> Hvordan kan man lave en sådan "keep-alive"-funktion på klienten?

Et lille vindue, et billede eller en frame, der reloader sig selv. Evt. med
META-tags eller Javascript(*). Ikke overvældende kønt, men bedre end en server,
der er afhængig af, at klienten siger farvel på en bestemt måde.

(*) Evt. FUT til dk.edb.internet.webdesign.clientside for idéer til dette.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

> > Hvordan kan man lave en sådan "keep-alive"-funktion på klienten?
>
> Et lille vindue, et billede eller en frame, der reloader sig selv. Evt.
med
> META-tags eller Javascript(*). Ikke overvældende kønt, men bedre end en
server,
> der er afhængig af, at klienten siger farvel på en bestemt måde.
>
> (*) Evt. FUT til dk.edb.internet.webdesign.clientside for idéer til
dette.
>

Reload fungerer ikke, da forms tømmes ved reload, og så skal brugeren
genindtaste.

Jeg er stadig interesseret i, hvordan du kan lave en "keep-alive"-funktion.

Med venlig hilsen
Allan

---

Allan Unnerup wrote:

> Reload fungerer ikke, da forms tømmes ved reload, og så skal brugeren
> genindtaste.

Der behøver ikke være nogen HTML-form for at holde en session i live. Enten
ligger session-informationen i URL'en eller i en cookie.
Når en vilkårlig side (eller andet element) reloades med den aktuelle
cookie-identifikation, nulstilles serverens timer, og sessionen lever endnu en
periode.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

Hej alle,

"Jonathan Stein" <jstein@image.dk> wrote in message
news:3DA5E2DF.5CD396C2@image.dk...
> "J.S.I." wrote:
>
> > Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> > automatisk logger brugeren af, når browseren lukkes ned??
>
> Never trust a client! Måske bliver forbindelsen afbrudt eller browseren
dør
> ureglementeret. Derfor skal du satse på en form for time-out på serveren
(f.eks.

Skal vi ikke lige slå fast at der ikke findes nogen "forbindelse" mellem
browseren og serveren. Browseren laver en request og serveren sender et svar
tilbage. Der er ikke mere forbindelse mellem browseren og serveren end hvis
du har en brevdialog med moster Anna.

Alle login sessioner baserer sig i et eller andet omfang på session id's,
som enten gemmes som cookies i browseren eller overføres på hver request ved
hjælp af url rewriting.

Hvis du vil lave automatisk timeout er det i princippet blot et spørgsmål om
at styre levetiden på sessions cookie'n så den fjernes når sidste
browserinstans dør - jeg kan ikke huske præcis hvordan man gør det så det må
du grave lidt i. Det varierer sikkert også afhængig af hvilken
applikationsserver man bruger.

Mvh Michael

> med sessions som andre har foreslået). Det har den ulempe, at der kan
komme
> time-out selv om klienten stadig er aktiv, men det kan undgås med en
> "keep-alive" funktion på klienten, som holder forbindelsen åben.
>
> M.v.h.
>
> Jonathan
>
> --
> Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
> Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
> (giver mulighed for eget SSL-certifikat).
> http://www.jsp-hotel.dk/
>
>

---

"Michael Berg" <michael.berg@bergconsult.kom> writes:

> Skal vi ikke lige slå fast at der ikke findes nogen "forbindelse" mellem
> browseren og serveren. Browseren laver en request og serveren sender et svar
> tilbage. Der er ikke mere forbindelse mellem browseren og serveren end hvis
> du har en brevdialog med moster Anna.

I http 1.0. I http 1.1 er der mulighed for at holde forbindelsen åben.


--
Thorbjørn Ravn Andersen
http://homepage.mac.com/ravn

---

Michael Berg wrote:

> > > Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> > > automatisk logger brugeren af, når browseren lukkes ned??
> >
> > Never trust a client! Måske bliver forbindelsen afbrudt eller browseren
> dør
> > ureglementeret. Derfor skal du satse på en form for time-out på serveren
> (f.eks.
>
> Skal vi ikke lige slå fast at der ikke findes nogen "forbindelse" mellem
> browseren og serveren.

Der er naturligvis en forbindelse, hvis de skal kunne snakke sammen, men jeg
ved godt hvad du tænker på. Jeg tænkte nu mere på klientens
internet-forbindelse. Selv om man får lavet en funktion på klienten, så den
altid prøver at logge korrekt af, vil dette ikke hjælpe, hvis den ikke kan få
forbindelse til serveren.

> ...
> Hvis du vil lave automatisk timeout er det i princippet blot et spørgsmål om
> at styre levetiden på sessions cookie'n så den fjernes når sidste
> browserinstans dør

Det hjælper stadig ikke på, at serveren kan "hænge" med en åben tilstand, hvis
den forventer, at klienten logger ud. Der sker jo intet på serveren ved at en
cookie på klienten udløber.
En session-cookie vil normalt være sat til at udløbe, når browseren lukkes,
men hvor længe skal sessionen leve på serveren efter et request? For lang tid
vil give en masse hængende sessioner, som belaster serveren - og for kort tid
vil give brugere, som mister en aktiv session. Derfor kan det være aktuelt at
holde en session kunstigt i live mens browseren er på den aktuelle side.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

Hej Jonathan,

> Der er naturligvis en forbindelse, hvis de skal kunne snakke sammen, men jeg
> ved godt hvad du tænker på. Jeg tænkte nu mere på klientens
> internet-forbindelse. Selv om man får lavet en funktion på klienten, så den
> altid prøver at logge korrekt af, vil dette ikke hjælpe, hvis den ikke kan få
> forbindelse til serveren.

Næh men det er der vel ingen teknologi i verden der kan rette op på..?

Faktisk kan man godt argumentere for at en klient skal bibeholde sin session selvom hans internet forbindelse fysisk lukker ned. Det virker fx. fint i Yahoo mail og ret beset er det jo ikke et krav at der findes en forbindelse til serveren hvis ens øjne blot skal læse det, der står på skærmen.

> > Hvis du vil lave automatisk timeout er det i princippet blot et spørgsmål om
> > at styre levetiden på sessions cookie'n så den fjernes når sidste
> > browserinstans dør
>
> Det hjælper stadig ikke på, at serveren kan "hænge" med en åben tilstand, hvis
> den forventer, at klienten logger ud. Der sker jo intet på serveren ved at en
> cookie på klienten udløber.

Der sker det, at brugeren vil være nødt til at logge på igen næste gang han kontakter serveren. Og her kan log-på funktionen jo blot lave en log-af på alle åbne sessioner og dermed løbende rydde op efter gamle brugere.

Der er selvfølgelig ingen garanti for at brugeren nogensinde kommer igen, og her kan man så lave en funktion der periodisk nedlægger sessioner på serveren 30 minutter efter sidste request, der er foretaget med den pågældende session. Denne teknik bruges fx. af Yahoo mail.

> vil give brugere, som mister en aktiv session. Derfor kan det være aktuelt at
> holde en session kunstigt i live mens browseren er på den aktuelle side.

Ja, men man må samtidig sige at en bruger der er mere end 30 minutter om at læse en side eller udfylde en formular, han er selv ude om det ...

Men selvfølgelig, hvis forudsætningerne er sådan, at det ikke er muligt at gøre rimelige antagelser om sessioners varighed, så kan man selvfølgelig komme i en situation hvor man er nødt til at opfinde et eller andet smart. Indsatsen skal dog opvejes i forhold til antallet af sessioner og brugere, ellers risikerer man at den mekanisme man sætter på plads til at holde sessioner i live faktisk belaster serveren mere end hvis sessionerne blot får lov til at ligge i hvile i fx. 30 minutter. Det er jo primært memory og disk forbrug vi snakker om.

Mvh Michael

---

Michael Berg wrote:

> > Der er naturligvis en forbindelse, hvis de skal kunne snakke sammen, men jeg
> > ved godt hvad du tænker på. Jeg tænkte nu mere på klientens
> > internet-forbindelse. Selv om man får lavet en funktion på klienten, så den
> > altid prøver at logge korrekt af, vil dette ikke hjælpe, hvis den ikke kan få
> > forbindelse til serveren.
>
> Næh men det er der vel ingen teknologi i verden der kan rette op på..?

Jo - at lade serveren logge brugeren ud efter et stykke tids inaktivitet.

Det oprindelige problem var jo, at server-applikationen krævede, at brugeren loggede korrekt ud. Når brugeren ikke kan eller vil gøre det, kan problemet løses ved, at serveren automatisk logger folk ud efter et stykke tid. Det er jo sådan set det, du skitserer nedenfor.

> Faktisk kan man godt argumentere for at en klient skal bibeholde sin session selvom hans internet forbindelse fysisk lukker ned.

Sådan vil de fleste session-systemer fungere. En løsning til det oprindelige problem var jo også netop at anvende sessions.

> > > Hvis du vil lave automatisk timeout er det i princippet blot et spørgsmål om
> > > at styre levetiden på sessions cookie'n så den fjernes når sidste
> > > browserinstans dør
> >
> > Det hjælper stadig ikke på, at serveren kan "hænge" med en åben tilstand, hvis
> > den forventer, at klienten logger ud. Der sker jo intet på serveren ved at en
> > cookie på klienten udløber.
>
> Der sker det, at brugeren vil være nødt til at logge på igen næste gang han kontakter serveren. Og her kan log-på funktionen jo blot lave en log-af på alle åbne sessioner og dermed løbende rydde op efter gamle brugere.

Det er en mulighed (et krav) hvis samme bruger ikke må have flere aktive sessions - ellers vil det være nemmere blot at lade sessionen dø efter time-out. Der vil sjældent blive foretaget så mange samtidige logins, at det bliver et ressource-problem.

> > vil give brugere, som mister en aktiv session. Derfor kan det være aktuelt at
> > holde en session kunstigt i live mens browseren er på den aktuelle side.
>
> Ja, men man må samtidig sige at en bruger der er mere end 30 minutter om at læse en side eller udfylde en formular, han er selv ude om det ..

Det er en anden måde at designe det på...

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

Jeg er også efterhånden kommet frem til at jeg skal bruge timeout til at
styre auto logout..

Er der nogen foreslag til hvordan jeg "kunstig" kan holde en session i live
så lang tid en bruger er inden på siden, således at der aldrig kommer en
timeout, når siden er åben??

/Jakob

"J.S.I." <jsi@mailme.dk> wrote in message
news:ao49m7$fj2$1@news.net.uni-c.dk...
> Hej
>
> Jeg har en webapplikation lavet i jsp og jave som kører på en Tomcat
> webserver.
> Brugerne skal for at kunne benytte systemet logge sig på og logge sig af
når
> de ikke ønsker at bruge det længere.
> Problemet er bare at nogle brugere ikke gidder at logge af, men blot
lukker
> deres browser ned.
>
> Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> automatisk logger brugeren af, når browseren lukkes ned??
>
> På forhånd tak
>
> /Jakob
>
>

---

"J.S.I." <jsi@mailme.dk> skrev i en meddelelse
news:ao6nhi$61s$1@news.net.uni-c.dk...
> Jeg er også efterhånden kommet frem til at jeg skal bruge timeout til at
> styre auto logout..
>
> Er der nogen foreslag til hvordan jeg "kunstig" kan holde en session i
live
> så lang tid en bruger er inden på siden, således at der aldrig kommer en
> timeout, når siden er åben??

Brug javascript (ja, jeg ved godt det er lidt off-topic i den her gruppe)
I din side kan du fx inkludere
<script>
window.setTimer(5000, "keepAlive()"); // every 5 seconds

function keepAlive() {
var im = new Image(); // dummy image
im.src = http://myserver/DummyServlet?rnd= + Math.random(); // include
random to ensure it's not cached
}

Din dummyservlet kan returnere ingenting - det bliver alligevel aldrig
brugt.
Men du får selvfølgelig en del load på din server af alle disse dummy
requests.

Niels Harremoës
>
> /Jakob
>
> "J.S.I." <jsi@mailme.dk> wrote in message
> news:ao49m7$fj2$1@news.net.uni-c.dk...
> > Hej
> >
> > Jeg har en webapplikation lavet i jsp og jave som kører på en Tomcat
> > webserver.
> > Brugerne skal for at kunne benytte systemet logge sig på og logge sig af
> når
> > de ikke ønsker at bruge det længere.
> > Problemet er bare at nogle brugere ikke gidder at logge af, men blot
> lukker
> > deres browser ned.
> >
> > Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> > automatisk logger brugeren af, når browseren lukkes ned??
> >
> > På forhånd tak
> >
> > /Jakob
> >
> >
>
>

---

"Niels Ull Harremoës" wrote:

> window.setTimer(5000, "keepAlive()"); // every 5 seconds
> ...
> Men du får selvfølgelig en del load på din server af alle disse dummy
> requests.

5 sekunder er nu heller ikke meget, hvis sessionen lever 15 minutter.

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

Hej Niels,

> Brug javascript (ja, jeg ved godt det er lidt off-topic i den her gruppe)
> I din side kan du fx inkludere
> <script>
> window.setTimer(5000, "keepAlive()"); // every 5 seconds
>
> function keepAlive() {
> var im = new Image(); // dummy image
> im.src = http://myserver/DummyServlet?rnd= + Math.random(); // include
> random to ensure it's not cached
> }
>

Er det ikke lidt nemmere bare at lave en meta http-equiv refresh så? Det er lidt ugennemskueligt om et image refresh også sender cookies med (det var vist en fejl i IE som de lukkede engang).

Man opnår jo ikke så meget ved at lave requests til serveren, hvis den ikke kan se hvem man er.

Mvh Michael

---

Problemet med at refreshe hel siden, er at den så "blinker" hos brugeren -
og hvis han nu fx er i gang med at udfylde en lang formular, så bliver han
nok ked af det, når hans ændringer forsvinder.

Det er også væsentlig dyrere at regenerere en hel jsp side end bare at sende
et dummy image.

"Michael Berg" <michael.berg@bergconsult.kom> skrev i en meddelelse
news:3dadab7c$0$22102$edfadb0f@dspool01.news.tele.dk...
Hej Niels,

> Brug javascript (ja, jeg ved godt det er lidt off-topic i den her gruppe)
> I din side kan du fx inkludere
> <script>
> window.setTimer(5000, "keepAlive()"); // every 5 seconds
>
> function keepAlive() {
> var im = new Image(); // dummy image
> im.src = http://myserver/DummyServlet?rnd= + Math.random(); //
include
> random to ensure it's not cached
> }
>

Er det ikke lidt nemmere bare at lave en meta http-equiv refresh så? Det er
lidt ugennemskueligt om et image refresh også sender cookies med (det var
vist en fejl i IE som de lukkede engang).

Man opnår jo ikke så meget ved at lave requests til serveren, hvis den ikke
kan se hvem man er.

Mvh Michael

---

"Niels Ull Harremoës" wrote:

> Er det ikke lidt nemmere bare at lave en meta http-equiv refresh så? Det er
> lidt ugennemskueligt om et image refresh også sender cookies med (det var
> vist en fejl i IE som de lukkede engang).

Det skal så være en skjult frame, man refresher, hvis man ikke netop skal løbe
ind i de problemer, du beskriver omkring "blink" og udfyldning af forms.
Men cookies bliver sendt med alle request (inkl. billeder) til pågældende
server (det er f.eks. sådan double-click opsamler brugerdata på tværs af
web-sites).

M.v.h.

Jonathan

--
Nyt alternativ til egen server: JSP Enterprise hotel med adgang til
Enterprise Java Beans, egen Java Virtual Machine og egen IP-adresse
(giver mulighed for eget SSL-certifikat).
http://www.jsp-hotel.dk/

---

"Jonathan Stein" <jstein@image.dk> skrev i en meddelelse
news:3DB03418.67A9F1AA@image.dk...
> "Niels Ull Harremoës" wrote:

> > Er det ikke lidt nemmere bare at lave en meta http-equiv refresh så? Det
er
> > lidt ugennemskueligt om et image refresh også sender cookies med (det
var
[...]
Ups - outlook express er dum til at citere. Det var faktisk Michael der
foreslog meta http-equiv. Og det ville give præcis de problemer du angiver.

---

"J.S.I." <jsi@mailme.dk> wrote in message
news:ao49m7$fj2$1@news.net.uni-c.dk...
> Hej
>
> Er der nogen ideer til hvordan man kan lave en slags auto logout, der
> automatisk logger brugeren af, når browseren lukkes ned??
>

Ved ikke helt om det er det du er ude efter Jakob, men du kan implementere
HttpSessionBindingListener og du vil få at vide hvornår objektet fjernes fra
din session (hvad enten den timer ud eller du selv fjerner det).

//Jonas Pedersen