1

我在 SE 中对此问题进行了研究,但没有找到解决问题的答案。

从我的问题来看,每次我在 web 中注销会话并打开新选项卡时,总是会触发此错误。我认为会话管理不允许 csrf 令牌在浏览器的另一个选项卡中公开。

当我在 chrome cookies 控制台中跟踪 JSESSIONID 时,它显示与正常成功登录相比没有给出响应,后者给出了 JSESSIONID 的响应。

这是我的登录页面表单:

<form name='loginForm' action="<c:url value='/login' />" method="post">
        <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
        <div id="username_input">
            <div id="username_inputleft"></div>
            <div id="username_inputmiddle">                 
                <input type="text" name="username" id="url" placeholder="<spring:message code="login.name" />" >
                <img id="url_user" src="<c:url value="/resources/images/login/mailicon.png"/>" alt="">              
            </div>
            <div id="username_inputright"></div>
        </div>
        <div id="password_input">
            <div id="password_inputleft"></div>
            <div id="password_inputmiddle">                 
                <input type="password" name="password" id="url" placeholder="<spring:message code="login.password" />" >
                <img id="url_password" src="<c:url value="/resources/images/login/passicon.png"/>" alt="">              
            </div>
            <div id="password_inputright"></div>
        </div>
        <div id="submit">               
            <input type="image" src="<c:url value="/resources/images/login/submit_hover.png"/>" id="submit1"  value="Sign In" />                
            <input type="image" src="<c:url value="/resources/images/login/submit.png"/>" id="submit2"  value="Sign In"/>               
        </div>          
        </form>

我认为问题出在我的安全配置中的会话管理:

.sessionManagement()
        .sessionFixation()
        .newSession()
        .maximumSessions( 1 );

但不知何故我无法解决问题。我希望有人能帮帮忙。

更新:

我使用此链接注销:

<a href="<c:url value="/logout" />">
 <spring:url value="/resources/images/logout.jpg" var="logoutimg" />
 <img src="${logoutimg}">
 <spring:url value="/resources/images/logout_txt.jpg" var="logouttxtimg" />
 <img class="hidden-xs" src="${logouttxtimg}" />
</a>
4

2 回答 2

0

出于某种原因,我们需要使用 /logout 或 /j_spring_security_logout 来注销当前用户。如果我们使用另一种方法以编程方式注销,除非我使用提供的 url,否则注销过程将不会完成。感谢帮助。如果有人提出了以编程方式完全注销而不影响弹簧安全性的解决方案,请告诉我。谢谢

于 2015-12-16T06:43:42.417 回答
0

在你的控制器中试试这个

@RequestMapping("/Logout")
public ModelAndView processLogout(HttpServletRequest request, HttpServletResponse response) {
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    if (auth != null) {
        new SecurityContextLogoutHandler().logout(request, response, auth);
    }
    mv = new ModelAndView();
    mv.setViewName("Login");
    return mv;
}

并在您的登录页面插入

<input type="hidden" name="${_csrf.parameterName}"
                    value="${_csrf.token}" />

不要忘记将此添加到您的安全配置中

<security:logout delete-cookies="JSESSIONID"
        logout-success-url='/login?logout' logout-url="/Logout"
        invalidate-session="true" />
于 2016-05-12T15:16:33.073 回答