关于java web 开发中session过期的理解

最近做一个项目要求实现一个功能。

就是如果用户A已经登录到系统中。如果其他人再使用用户A的帐号在其他机器或者浏览器上登录，都会登录失败。只能等待用户A在系统中注销或者Session超时才可以登录。

这个项目是用java web相关技术实现的。 其实实现的原理比较简单就是将用户登录后将session保存到一段共享的内存中（程序中是用静态的HashTable保存所有的Session）。

其中当用户的session过期失效后。我发现map中的session对象依然存在。不过从HashTable得到这个过期后的session对象调用getAttribute()方法时。会抛出一个session已经失效的异常。而在session失效后用request.getSession()取得的Session对象并不是保存在HashTable中的session对象。两者有着不同的sessionID 和 session对象地址。 前者可以使用getAttribute()这样的方法，不过由于是新的对象所以没有属性值。

这样的结果可以推出服务器对session过期管理的结论： session的过期失效，实际上服务器会重新创建一个session对象将对原来session对象的引用指向新的session并将sessionID发送给客户端保存以替换原来的sessionID。 而旧的session对象由于客户端的sessionID已经修改将不会被获得。旧的session对象等待jvm垃圾回收进程进行垃圾回收。

＊ 注： 不过这个项目中由于session过期后session的引用保存在静态的HashTable中使得就得session对象不会被垃圾回收器回收。 HashTable会随着系统的运行变得越来越大。注意到这个问题后。使用了session监听器当session失效后捕获其session对象并从HashTable中移出。从而达到理想的效果