Desenvolvi um sistema web em Java com JPA, JSF, Primefaces e outros coisas, a aplicação está em produção com bom funcionamento. Recentemente recebi uma solicitação do proprietário do sistema para que exista a possibilidade de alguns usuários não expirarem a sessão, pois há telas com painéis que são atualizados via websocket.
Eu pergunto a vocês, da pra fazer essa configuração, por exemplo no web.xml adicionando um valor negativo as tags da session timeout?
Quais os pontos negativos isso implicaria, sei que é um ponto negativo, já que um cara pode ficar logado direto na aplicação?
Isso poderia causar sobrecarga no servidor?
Nunca imaginei este cenário, mas pesquisei e realmente tem alguns que utiliza o -1 no session timeout. Como pedistes opnião … bem como sabemos JSF vai manter a sessao do usuario no servidor então obviamente você vai ter vários usuários pendurados na sua aplicação que nem sempre vão está usando =( e sim vc irá pagar por estes alocamentos no seu servidor.
Será que propondo ao seu cliente o aumento do timeout em horas não seria viável pros dois lados?
O ideal seria não usar session para cumprir esse requisito. Se as ferramentas usadas atualmente atrapalham para atender as novas funcionalidades, pelo menos tente não usá-las nessas novas funcionalidades, assim vai se livrando aos poucos dessas tralhas.