1

我们的应用程序使用了 Spring Security。Spring 安全性已经以 bean 声明的方式进行了配置。

问题是:我登录了应用程序,浏览了几个页面,然后重新启动了服务器(但没有关闭浏览器)。重新启动服务器后,我可以成功移动到其他页面。我确定这不是浏览器缓存,因为我在开始浏览其他页面之前删除了所有 cookie。

为什么会这样?这是默认行为吗?重新启动服务器后如何强制执行身份验证?

4

1 回答 1

7

我们使用Tomcat 6,它是tomcat的默认行为,它在服务器关闭之前序列化会话并在下次服务器重新启动时反序列化,从而维护会话。

如果我们不想要这种默认行为,请取消注释 context.xml 中的“Manager”元素部分。

于 2009-10-13T07:33:20.853 回答