Neste caso, se o usuário ficar 15 minutos inativo, sem navegar, ele expira a sessão OK.
Caso o usuário navegue 5 minutos e fecha o browser ou vai para outro site sem fazer logout, a sessão permanece ativa no servidor e expira depois de 10 minutos, até aqui OK.
Porém a equipe de segurança quer que as sessões ativas de usuários que não estão mais no site sejam invalidadas.
A idéia proposta nesse tópico de usar IFrame oculto, no meu caso não vai servir, pois ele vai resolver o caso do fechamento do browser, porém deixa de funcionar o usuário inativo, caso ele fique com a página aberta sem navegar por mais de 15 min.
Ah, também terei que implementar, posteriormente, o logout por tempo de navegação, tipo, mesmo o usuário navegando sem parar, após 30 minutos logado, a sessão dele será encerrada, forçando ele fazer um novo login. (Requisito também exigido pela equipe de segurança). Mas isso é mais pra frente! rs
Será que tem como implementar uma espécie de listener que fica varrendo as sessões ativas e verificando se o usuário daquela sessão ainda se encontra no nosso site?
Valew.
Hebert_Coelho
Com listener não tem como. A idéia do request é justamente o cliente chamar o servidor apenas quando precisar. A sessão ela é salva no servidor e sua ID volta para o usuário como cookio ou campo hidden (whatever…).
Imagina se seu site tivesse 300 conexões abertas, e não fechassem? Seu servidor iria cair num tapa só, pois ele teria que estar varrendo todas as conexões para ver o elas fazem. E quando o usuário fecha o browser dele, o o browser tá nem aí pro nosso servidor.
Bem, eu vi no caso, sites como meebo que quando vc vai fechar o browser ele emite um alerta. Não sei se nesses casos, vc poderia matar a sessão e fazer outras coisas. Mas vale a pena procurar. Não sei em qual linguagem esse site foi feito! [=
