2 
rg.springframework.security.web.authentication.session.SessionFixationProtectionStrategy       - Invalidating session with Id '1Xih9jabIqjCtnNqIt1e6w__.node1' and migrating attributes.
2012-04-17 16:32:41,481 INFO  [STDOUT] (http-0.0.0.0-8080-11) SESSION DESTROYED:   1Xih9jabIqjCtnNqIt1e6w__.node1
2012-04-17 16:32:41,482 INFO  [STDOUT] (http-0.0.0.0-8080-11) NEW SESSION CREATED:    Mo0vId0MsOE6HS0+TQpZ6Q__.node1 of 3

有什么方法可以关闭这个 SessionFixationProtectionStrategy 或修复属性迁移,因为它没有迁移会话属性,这会破坏很多东西?

4

2 回答 2

4

可以使用以下方法关闭会话固定保护:

<http [...]>
    [...]
    <session-management session-fixation-protection="none"/>
    [...]
</http>
于 2012-04-19T08:56:38.237 回答
0

或者..如果您仍然需要保护自己免受固定问题的影响:

<bean id="concurrentSessionControlStrategy"
  class="org.springframework.security.web.authentication.session.ConcurrentSessionControlStrategy"
  c:sessionRegistry-ref="sessionRegistry"
  p:maximumSessions="5"
  p:alwaysCreateSession="true"
  p:migrateSessionAttributes="true"
  p:exceptionIfMaximumExceeded="false"/>
于 2014-12-15T23:24:52.973 回答