我正在使用 spring-security 3.1.3 将现有应用程序迁移到 4.0.1。在当前代码中,我看到 NullAuthenticatedSessionStrategy 使用如下
<sec:http>
..
<sec:session-management session-authentication-strategy-ref="ss"/>
</sec:http>
<bean id="ss" class="org.springframework.security.web.authentication.session.NullAuthenticatedSessionStrategy"/>
在我们为 4.0.1 spring security 迁移的代码中,如果我保持不变,似乎使用了 SessionFixationProtectionStrategy。所以我已经使用 session-fixation-protection=none 关闭了保护。
<sec:session-management session-fixation-protection="none"/>
Q-1; 在这里,我不清楚使用 NullAuthenticatedSessionStrategy 与关闭上述保护有什么区别。
Q-2; 如果我仍然想在当前代码中使用 NullAuthenticatedSessionStrategy,如何在 4.0.1 中做到这一点?
谢谢