Java web.xml中的会话超时和安全

在将问题发布到这里之前，我已经做了一些准备工作，我知道，若我的服务器在规定的时间限制内并没有收到任何请求，会话超时将使我的会话过期

但我的疑问是：

我的服务器是无会话的，即它根本不维护会话

对于每个请求，我检查令牌是否存在，我将批准该请求，否则拒绝该请求，并且，如果用户选择注销，我将该令牌标记为无效。所以，如果下次有人使用该令牌，则不应访问受保护的api

是的，我在生成新令牌时使用到期时间

这是否意味着我不必在web.xml中设置“会话超时”

还是我遗漏了什么

多谢各位

/*****更新******/

让我添加更多信息，我从用户处获取“用户名”和“密码”，并生成到期日为1天的令牌。对于每个api请求，我都希望用户向我发送这个令牌，然后只有我会让他走得更远。

---

当他注销时，我将此令牌标记为无效，因此下次他尝试使用任何api时，我会在JEE Servlet应用程序中再次询问他“用户名”和“密码”，会话是与cookie关联的值。在幕后，servlet容器将此值用作键，用于在服务器内存中存储带有参数的映射。web.xml中的会话超时值确定用户在cookie值过期之前可以处于非活动状态多长时间，并且映射被释放用于垃圾收集。

当您说我的服务器根本不维护会话时，您的确切意思是什么。您是否修改了tomcat context.xml。默认情况下，您的会话将存储在您的服务器上tomcat服务器，默认超时时间为30分钟。不，我没有更改任何内容，我正在使用JWT令牌对用户进行身份验证，没有维护任何会话。有没有默认会话之类的东西，对不起，我不知道。我将了解更多信息。这完全取决于您如何设置应用程序，例如JSP。我建议将HttpSessionListener附加到您的应用程序中，这样您就可以跟踪内容了。顺便说一句，“会话”通常指一个名为“jsessionid”的cookie。看看这个是的，我想我混淆了使用令牌维护会话和默认会话（JSESSIONID）。