1

对于 grails 应用程序,我们正在使用 spring 安全插件,并计划使用 amazon redis 存储来存储用户会话。这是有效的,除了当前序列化到存储的用户会话对象包括所有属性,包括密码,都是明文。

无论如何,似乎都不应该序列化密码属性 - 对吗?如果是这样,有没有办法在grails中使用spring security从会话序列化中排除属性?

4

1 回答 1

2

有一个设置可以在成功验证后从验证中清除密码。它在 Spring Security 3.0 中默认为 false,但可以启用:

grails.plugins.springsecurity.providerManager.eraseCredentialsAfterAuthentication = true

这在插件的 2.0 版本中默认为 true,因此如果您升级,您可以省略此覆盖。

于 2013-10-19T17:02:41.240 回答