功能篇：JAVA实现登录过期功能

在Java Web应用程序中实现登录过期功能，通常涉及到会话管理。可以通过设置HttpSession的有效时间来控制用户的登录状态。此外，还可以通过使用Spring Security等框架来更精细地控制用户认证的状态和过期机制。

下面是一个简单的例子，演示如何使用Java Servlet API和Spring Security来实现登录过期的功能。

### 使用Servlet API

1. **设置Session的超时时间**：可以在web.xml中配置session的超时时间（以分钟为单位），也可以通过编程方式设置。

```xml
<!-- web.xml -->
<session-config>
    <session-timeout>30</session-timeout> <!-- 30分钟 -->
</session-config>
```

或者编程方式：

```java
// 在你的Servlet或Filter中
HttpSession session = request.getSession();
session.setMaxInactiveInterval(30 * 60); // 设置为30分钟
```

2. **监听Session销毁事件**：可以创建一个`HttpSessionListener`来监听Session被销毁的事件，并执行相应的逻辑，如记录日志或清理资源。

```java
import javax.servlet.annotation.WebListener;
import javax.servlet.http.HttpSessionEvent;
import javax.servlet.http.HttpSessionListener;

@WebListener
public class SessionTimeoutListener implements HttpSessionListener {

    @Override
    public void sessionCreated(HttpSessionEvent se) {
        // 当创建新会话时触发
    }

    @Override
    public void sessionDestroyed(HttpSessionEvent se) {
        // 当会话结束时触发，可以在这里添加处理代码
        System.out.println("Session has been destroyed");
    }
}
```

### 使用Spring Security

如果你的应用使用了Spring Security，你可以利用它的内置特性来处理登录过期的问题。

1. **设置全局会话管理策略**：在Spring Security配置中设置全局会话管理策略，包括最大会话数、是否允许创建新会话以及会话无效后的处理等。

```java
import org.springframework.context.annotation.Bean;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.web.session.SessionManagementFilter;
import org.springframework.security.web.session.ConcurrentSessionFilter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .and()
            .logout()
                .and()
            .sessionManagement()
                .maximumSessions(1) // 允许的最大并发会话数
                .maxSessionsPreventsLogin(true) // 如果达到最大值，阻止新的登录
                .expiredUrl("/login?expired") // 登录过期后重定向到此URL
        ;
    }
}
```

2. **自定义会话失效处理**：你可以实现`SessionInformationExpiredStrategy`接口来自定义当会话过期时的行为。

```java
import org.springframework.security.web.session.SessionInformationExpiredStrategy;
import org.springframework.security.web.session.SimpleRedirectSessionInformationExpiredStrategy;

@Bean
public SessionInformationExpiredStrategy sessionInformationExpiredStrategy() {
    return new SimpleRedirectSessionInformationExpiredStrategy("/login?expired=true");
}
```

以上就是一些关于如何在Java Web应用中实现登录过期功能的基本示例。根据你的具体需求，可能还需要调整这些配置以适应实际场景。同时，确保遵循安全最佳实践，比如使用HTTPS协议保护传输中的数据。