2

我重新启动服务器,这基本上清除了会话的所有内容。由于会话已被清除,用户不能再被视为已登录。(JSESSIONID cookie 保留在浏览器中)

但是除非我从浏览器中删除 JESSIONID cookie,否则 spring 不会重定向到登录。我的问题是 - 为什么 Spring Security 依赖于 JESSIONID cookie 而不是会话?

这是我的 spring-security.xml 配置 -

    <security:global-method-security
        secured-annotations="enabled" />

    <security:http auto-config="true">
        <!-- Restrict URLs based on role -->
        <security:intercept-url pattern="/portal/login*"
            access="IS_AUTHENTICATED_ANONYMOUSLY" />
        <security:intercept-url pattern="/logoutSuccess*"
            access="IS_AUTHENTICATED_ANONYMOUSLY" />

        <security:intercept-url pattern="/**/*.css"
            access="IS_AUTHENTICATED_ANONYMOUSLY" />
        <security:intercept-url pattern="/**/*.js"
            access="IS_AUTHENTICATED_ANONYMOUSLY" />    

        <security:intercept-url pattern="/portal/**"
            access="ROLE_USER, ROLE_ADMIN" />

        <security:form-login login-page="/portal/login.action"
            login-processing-url="/portal/loginProcess" default-target-url="/portal/index"
            authentication-failure-url="/portal/login.action?login_error=1" />

        <security:logout logout-url="/portal/logout"
            logout-success-url="/portal/login.action" />

    </security:http>

    <security:authentication-manager>
        <security:authentication-provider>

            <security:jdbc-user-service
                data-source-ref="dataSource"
                users-by-username-query="SELECT emailid AS username, password, IF(active = 'Y', true, false) AS enabled FROM users WHERE emailid = ?"
                authorities-by-username-query="SELECT username, authority from authorities where username = ?" />
        </security:authentication-provider>
    </security:authentication-manager>
4

2 回答 2

1

我重新启动服务器,这基本上清除了会话的所有内容。由于会话已被清除,用户不能再被视为已登录。

根据您的评论,服务器重新启动后应用程序的行为就像用户已登录,我怀疑您启用了会话持久性(默认情况下在 Tomcat/JBoss 上启用),因此您实际上已登录(相同的 JSESSIONID )。此外,您可能会丢失会话内容,因为您放入会话的对象不可序列化。

根据 Tomcat 文档(在这种情况下 JBoss 的行为类似):

禁用会话持久性 如上所述,默认情况下,每个 Web 应用程序都配置了标准管理器实现,并在重新启动时执行会话持久性。要禁用此持久性功能,请为您的 Web 应用程序创建一个上下文配置文件并在其中添加以下元素:

<Manager pathname="" />
于 2013-06-17T12:16:46.040 回答
0

我的问题是 - 为什么 spring security 依赖于 JESSIONID cookie 而不是 session

您必须启用基于 cookie 的会话。如果您使用的是 tomcat 7,您的 web.xml 中可能有类似的内容

<session-config>
  <!-- Disables URL-based sessions (no more 'jsessionid' in the URL using Tomcat) -->
  <tracking-mode>COOKIE</tracking-mode>
</session-config>

去掉它。

于 2013-06-17T12:21:22.027 回答