我们正在使用 web.xml 版本的 session-timeout,并且很难将其重定向到登录页面或强制用户重新进行身份验证的注销页面。
目前我们在 web.xml 中定义了这个
<session-config>
<session-timeout>30</session-timeout>
</session-config>
它与我们的spring security core jars一起使用,可以很好地在超时后使会话无效,但是没有屏幕重定向,您仍然可以在没有会话的情况下浏览应用程序。
我们如何告诉 Spring 在超时结束时重定向?
用于拦截用户的 URL 映射
<security:http entry-point-ref="casProcessingFilterEntryPoint" pattern="/*">
<security:custom-filter ref="casProcessingFilter" after="CAS_FILTER"/>
<security:intercept-url pattern="/**" access="ROLE_USER"/>
<security:logout logout-url="/logout" logout-success-url="http://login..edu/logout" invalidate-session="true"/>
</security:http>