调试易

可以设置session的有效时间为5分钟
同时监听session，一旦session过期，
就把数据库里面锁定的用户接触锁定

2、session过期。
用HttpSessionListener 不是 HttpSessionAttributeListener1、用户非正常退出。如掉线，死机。
同 2、session过期。3、服务器当机。
没办法为什么要用session判断
把用户id放到application里就可以了

登陆的用户，每隔5分钟（或是其他interval由你自己决定）向服务发送在线消息。如果服务器5分钟之后+一定延时没有收到消息，自动释放锁。需要你在服务器端做一个小服务程序。不会耗费太多资源。

对呀，其实简单一些 放到 application 多好！

建议用domino的权限管理，这是个好方法，通过websphere的配置，连接到domino，读取权限，不过我在wsad中遇到一个问题了，用权限管理时，一般用url路径，在struts中可以这样写
       <security-constraint id="SecurityConstraint_1072421162953">
         <web-resource-collection id="WebResourceCollection_1072421162969">
            <web-resource-name>commonUsers</web-resource-name>
            <description>common user</description>
            <url-pattern>/yh/welcome/main.do</url-pattern>
            <url-pattern>/yh/yhdc/bpdcAction.do?action=view</url-pattern>
            <http-method>GET</http-method>
            <http-method>PUT</http-method>
            <http-method>HEAD</http-method>
            <http-method>TRACE</http-method>
            <http-method>POST</http-method>
            <http-method>DELETE</http-method>
            <http-method>OPTIONS</http-method>
         </web-resource-collection>
         <auth-constraint id="AuthConstraint_1072421162970">
            <description></description>
            <role-name>yhxtglyh</role-name>
         </auth-constraint>
      </security-constraint>
但是在我上面一个带参数的连接是无效的，我没有试验成功，正在郁闷。但是不带参数就可以限制其权限了。因为我的action类中是用参数判定操作的，郁闷呀，要不是，就要全部改程序了