问题标签 [spring-session]

我们有一个运行在一个 tomcat 容器中的 CMS，它不是一个 Spring 应用程序。我们还有多个应用程序在单独的 tc 服务器实例上运行，这些实例包含我们的自定义代码（帐户管理、购物车等）。这些都是 spring 4.0.x 应用程序，并由 Spring Security 保护。

我想在所有这些环境之间启用 Spring Session。您是否预见到在这样的环境中使用 Spring Session 会出现任何问题？

我正在尝试使用 stomp 设置带有 spring-messaging 的 WebSocket，并使用带有 spring-session 的 redis 支持的会话。我们的应用程序上下文是通过 xml 连接的，spring-session 正在处理应用程序的非 websocket 部分。websocket的相关配置如下

我在这里定义了我认为 spring-session 与 web 套接字集成的必要 bean：

但我不确定将它们连接到网络套接字配置的位置，并且无法找到任何有关如何以这种方式进行操作的文档。

想法？

我们正在尝试结合使用 spring session、spring security 和 websockets 来实现 websocket API 的安全性，而不使用 cookie。

理想情况下，我们将使用授权标头或使用 websocket/stomp 消息进行身份验证，但这似乎不适用于当前的 spring websocket 支持。

我们正在使用预身份验证提供程序来验证查询参数令牌并登录用户。我可以看到正确的用户在预身份验证中被拉出以进行握手，但 SecurityContext 对连接到 websocket 的拦截器不可用.

我们的spring安全配置是

我们的 websocket 配置是

我们正在尝试从 RC1 升级到 RELEASE，但现在出现以下异常：

这是我的会话配置：

我们将 redis 2.8.6 与 AWS ElastiCache、spring 框架 4.1.4、spring-data-redis 1.3.0.RELEASE 和 jedis 客户端 2.4.1 一起使用。

知道为什么我们会面临这个问题吗？

谢谢！

我正在使用我的 Web 应用程序评估 spring-session。在对 Web 应用程序的第一次请求期间，正在为单个客户端创建多个 httpsession。调试后发现问题是，响应是在过滤器链中较早的被 ShallowEtagHeaderFilter 在到达 SessionRepositoryFilter 之前提交的，所以添加到响应中的 cookie 并没有发送到客户端。因此，每个进一步的 ajax 请求都会创建一个新会话，但会话 ID 未在 cookie 中设置。

我试图在 ShallowEtagHeaderFilter 之后移动 SessionRepositoryFilter。有办法吗？

过滤器配置：

过滤器注册者：

我正在编写一个带有基于弹簧靴休息的后端和基于聚合物飞镖的前端的小应用程序。

目前我正在努力从登录机制接收会话ID......

最初我计划使用HeaderHttpSessionStrategy并使用它来对 spring-session/redis 会话存储进行身份验证以启用水平扩展。

问题是spring security总是在登录后和dartHttpRequest类（来自html包）中执行重定向，并且在重定向后，来自初始响应的标头字段当然不再存在/可访问。我试图为客户端禁用 followRedirect，但看起来这仅适用于 IO 包HttpRequest。

然后我尝试切换到，CookieHttpSessionStrategy但看起来 dart httprequest 没有将收到的 cookie 存储在浏览器 cookie 后端：-/

这应该是一个简单的问题，但我在这里有点迷失了。这不可能那么难...

例如，当我使用 intellij 休息客户端时，一切正常，我可以从 cookie 或标头字段中提取会话 ID...

有任何想法吗？：-/

目前我认为没有理由添加 Redis，但所有 Spring Session 示例都包含它。我想在设计时考虑到以后可能会添加它。我现在想要的是 Header Authentication。

如何在不启用 Redis 的情况下启用标头身份验证？

（以 Spring Boot 单文件应用程序为例会很好）

我正在为我的 REST API 使用 Spring session 和 Spring security，但是当我通过一个简单的过滤器启用 CORS 时遇到了问题。

1. 如果我通过 http 代理使用相对 URI（在客户端应用程序中将http://xxxx/api映射到 /api），它运行良好。
2. 如果我直接使用完整的URL，我在使用CORS时遇到了一个问题，它无法获取会话信息，以下是Spring安全日志。

我正在使用 Spring 堆栈，包括 Spring 4.1.4.RELEASE、Spring Security 4、Spring Session 1.0.0.RELEASE 等

春季会话配置：

Http Session 初始化类内容：

RedisHttpSessionConfig 已加载到我的 Web 初始化程序（@Order(0)）中。还有另一个 Spring Security 初始化器（@Order(200)）。

我已经解决了这个问题。我将doFilter方法移到了else 块中。

因此 doFilter 只在 none OPTIONS 方法中执行。该解决方案暂时克服了这一障碍。我认为这可能是与 Spring Session 相关的错误。

“Spring Session”是否支持跨多个 App Server 容器的“Web Session Clustering”？

我可以仅使用 Spring Session 而不使用 Spring Security 来管理完整的 HTTPSession 生命周期（创建、更新、销毁和到期）吗？

我收到这个问题的原因是，Spring Security 声明它提供“会话自动到期”和“并发会话”功能。'Spring Session' 本身不提供'Session Auto-Expiry' 吗？