4

我的问题与类似,但我可以简化一些。基本上我想通过记住我的 cookie 来验证用户,但我希望服务器端的一切都是完全无状态的,即永远不要创建一个HttpSession. 我有以下设置:

<security:http use-expressions="true" create-session="stateless" >
    <security:intercept-url pattern="/index.jsp" access="hasRole('ROLE_ANONYMOUS')" />
    <security:intercept-url pattern="/**" access="hasRole('ROLE_TEST')" />
    <security:form-login login-page="/index.jsp" default-target-url="/home" always-use-default-target="true" authentication-failure-url="/index.jsp?login_error=1" />
    <security:logout logout-success-url="/index.jsp"/>
    <security:remember-me key="MY_KEY" />
</security:http>

<security:authentication-manager>
    <security:authentication-provider>
        <security:user-service>
            <security:user name="testUser" password="testPassword" authorities="ROLE_TEST" />
        </security:user-service>
    </security:authentication-provider>
</security:authentication-manager>

我使用上面的用户名和密码进行了身份验证,并在我的浏览器中看到了记住我的 cookie。它的那部分工作得很好。但是,我发现它在此过程中创建了一个会话。我认为create-session="stateless"应该防止这种情况发生。我在这里错过了什么吗?

4

1 回答 1

3

在处理了更多之后,我发现创建会话的不是 Spring Security。每次我点击 index.jsp 时,它都会创建一个新会话。我只是添加<%@ page session="false">到 index.jsp 的顶部,现在没有创建会话。

于 2012-04-10T15:19:01.917 回答